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内 容 简 介 

本 书 从 网 络 系统 安全 管理 和 应 用 的 角度 出 发 ,重点 介绍 网 络 安全 技术 及 其 应 用 ,各 章 在 介绍 网 络 安全 
技术 后 均 配 以 相应 的 实践 内 容 或 应 用 实例 ,体现 培养 读者 网 络 安全 及 管理 技术 的 应 用 能 力 和 实践 操作 技 
能 的 特色 。 

本 书 对 原理 、 技 术 难点 的 介绍 适度 ,将 理论 知识 和 实际 应 用 紧密 地 结合 在 一 起 ,典型 实例 的 应 用 性 和 
可 操作 性 强 ; 章 末 配 有 习题 和 思考 题 , 便 于 学 生 学 习 和 实践 ,内 容 安排 合理 ,重点 突出 ,文字 简明 ,语言 通俗 
易 懂 。 

本 书 可 作为 普通 高 校 计 算 机 、 通 信 、 信 息 安全 等 专业 的 应 用 型 本 科 高 职高 专 或 成 人 教育 学 生 的 网 络 
安全 实践 教材 ,也 可 作为 网 络 管理 人 员 、 网 络 工程 技术 人 员 和 信息 安全 管理 人 员 及 对 网 络 安全 感 兴趣 读者 
的 参考 书 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举 报 电话 : 010-62782989 ”13701121933 
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对 着 说 湖 


随 着 我 国 改革 开放 的 进一步 深化 ,高 等 教育 也 得 到 了 快速 发 展 ,各 地 高 校 紧 密 结合 地 方 
经 济 建设 发 展 需要 ,科学 运用 市 场 调节 机 制 , 加 大 了 使 用 信息 科学 等 现代 科学 技术 提升 、 改 
造 传 统 学 科 专 业 的 投入 力度 ,通过 教育 改革 合理 调整 和 配置 了 教育 资源 ,优化 了 传统 学 科 专 
业 ,积极 为 地 方 经 济 建设 输送 人 才 , 为 我 国 经 济 社会 的 快速 ,健康 和 可 持续 发 展 以 及 高 等 教 
育 自身 的 改革 发 展 做 出 了 巨大 贡献 。 但 是 ,高 等 教育 质量 还 需要 进一步 提高 以 适应 经 济 社 
会 发 展 的 需要 ,不 少 高 校 的 专业 设置 和 结构 不 尽 合理 ,教师 队伍 整体 素质 蝇 待 提高 ,人 才 培 
养 模式 .教学 内 容 和 方法 需要 进一步 转变 ,学 生 的 实践 能 力 和 创新 精神 路 待 加 强 。 
教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2007 年 1 月 ,教育 部 下 发 了 《关于 实施 高 等 
学 校本 科教 学 质量 与 教学 改革 工程 的 意见 》, 计 划 实 施 “ 高 等 学 校本 科教 学 质量 与 教学 改革 
工程 (简称 “质量 工程 ')”, 通 过 专业 结构 调整 .课程 教材 建设 ,实践 教学 改革 、 教 学 团队 建设 
等 多 项 内 容 , 进 一 步 深化 高 等 学 校 教 学 改革 ,提高 人 才 培 养 的 能 力 和 水 平 ,更 好 地 满足 经 济 
社会 发 展 对 高 素质 人 才 的 需要 。 在 贯彻 和 落实 教育 部 “质量 工程 ”的 过 程 中 ,各 地 高 校 发 挥 
师资 力量 强 、 办 学 经 验 丰 富 、 教 学 资源 充裕 等 优势 ,对 其 特色 专业 及 特色 课程 ( 群 ) 加 以 规划 、 
整理 和 总 结 ,更 新 教学 内 容 、 改 革 课 程 体系 ,建设 了 一 大 批 内 容 新 、 体 系 新 、 方 法 新 、 手 段 新 的 
特色 课程 。 在 此 基础 上 ,经 教育 部 相关 教学 指导 委员 会 专家 的 指导 和 建议 ,清华 大 学 出 版 社 
在 多 个 领域 精 选 各 高 校 的 特色 课程 ,分 别 规划 出 版 系列 教材 ,以 配合 “质量 工程 ”的 实施 , 满 
为 了 深入 贯彻 落实 教育 部 (关于 加 强 高 等 学 校本 科教 学 工作 ,提高 教学 质量 的 若干 意 
见 ) 精 神 ,紧密 配合 教育 部 已 经 启动 的 “高 等 学 校 教学 质量 与 教学 改革 工程 精品 课程 建设 工 
作 ”, 在 有 关 专 家 、 教 授 的 倡议 和 有 关 部 门 的 大 力 支 持 下 ,我 们 组 织 并 成 立 了 “清华 大 学 出 版 
社 教材 编审 委员 会 "(以 下 简称 * 编 委 会 ”) , 旨 在 配合 教育 部 制定 精品 课程 教材 的 出 版 规划 ， 
讨论 并 实施 精品 课程 教材 的 编写 与 出 版 工作 。“ 编 委 会 "成 员 皆 来 自 全 国 各 类 高 等 学 校 教学 
与 科研 第 一 线 的 骨干 教师 ,其 中 许多 教师 为 各 校 相关 院 、 系 主管 教学 的 院 长 或 系 主任 。 
按照 教育 部 的 要 求 ,“ 编 委 会 ”一 致 认为 .精品 课程 的 建设 工作 从 开始 就 要 坚持 高 标准 、 
严 要 求 , 处 于 一 个 比较 高 的 起 点 上 ; 精品 课程 教材 应 该 能 够 反映 各 高 校 教 学 改革 与 课程 建 
设 的 需要 ,要 有 特色 风格 有 创新 性 (新 体系 、 新 内 容 、 新 手段 ,新 思路 ,教材 的 内 容 体 系 有 和 较 
高 的 科学 创新 ,技术 创 新 和 理念 创新 的 含量 )、 先 进 性 (对 原 有 的 学 科 体系 有 实质 性 的 改革 和 
发 展 ,顺应 并 符合 21 世纪 教学 发 展 的 规律 ,代表 并 引领 课程 发 展 的 趋势 和 方向 ) 、 示 范 性 ( 教 
材 所 体现 的 课程 体系 具有 较 广 泛 的 辐射 性 和 示范 性 ) 和 一 定 的 前 上 脆性。 教材 由 个 人 申报 或 
各 校 推荐 (通过 所 在 高 校 的 “ 编 委 会 "成员 推 荐 ) ,经 “ 编 委 会 ”认真 评审 ,最 后 由 清华 大 学 出 版 
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社 审定 出 版 。 

目前 ,针对 计算 机 类 和 电子 信息 类 相关 专业 成 立 了 两 个 “ 编 委 会 ”, 即 “清华 大 学 出 版 社 
计算 机 教材 编审 委员 会 "和 “清华 大 学 出 版 社 电子 信 息 教 材 编审 委员 会 "。 推 出 的 特色 精品 
教材 包括 : 

(1) 21 世纪 高 等 学 校规 划 教材 。 计算 机 应 用 一 一 高 等 学 校 各 类 专业 ,特别 是 非 计算 机 
专业 的 计算 机 应 用 类 教材 。 

(2) 21 世纪 高 等 学 校规 划 教 材 。 计算 机 科学 与 技术 一 一 高 等 学 校 计算 机 相关 专业 的 
教材 。 

(3) 21 世纪 高 等 学 校规 划 教材 。 电子 信息 一 一 高 等 学 校 电子 信息 相关 专业 的 教材 。 

(4) 21 世纪 高 等 学 校规 划 教材 "软件 工程 一 一 高 等 学 校 软件 工程 相关 专业 的 教材 。 

(5) 21 世纪 高 等 学 校规 划 教材 。 信息 管理 与 信息 系统 。 

(6) 21 世纪 高 等 学 校规 划 教材 。 财经 管理 与 计算 机 应 用 。 

(7) 21 世纪 高 等 学 校规 划 教材 .电子 商务 。 


清华 大 学 出 版 社 经 过 二 十 多 年 的 努力 ,在 教材 尤其 是 计算 机 和 电子 信息 类 专业 教材 出 
版 方面 树立 了 权威 品牌 ,为 我 国 的 高 等 教育 事业 做 出 了 重要 贡献 。 清 华 版 教材 形成 了 技术 
准确 ,内容 严谨 的 独特 风格 ,这 种 风格 将 延续 并 反映 在 特色 精品 教材 的 建设 中 。 


清华 大 学 出 版 社 教材 编审 委员 会 
联系 人 : 魏 江 江 


E-mail: weijj @tup. tsinghua. edu. cn 


随 着 Internet 的 发 展 和 计算 机 网 络 的 普及 应 用 ,人 们 的 学 习 、 工 作 和 生活 方式 有 了 极 大 

的 改变 。 在 计算 机 网 络 为 人 们 带 来 方便 的 同时 ,网 络 系统 的 安全 问题 也 变 得 日 益 突 出 和 复 

。 解 决 网 络 安全 问题 更 多 地 涉及 网 络 安全 技术 、 网 络 系统 管理 和 实际 应 用 。 每 一 位 相关 
ee 
算 机 网 络 安全 知识 和 技术 ,以 使 自己 的 信息 系统 能 够 安全 、 稳 定 地 运行 ,并 提供 正常 的 服务 。 
当然 ,解决 网 络 系统 的 安全 问题 是 一 个 系统 工程 , 它 不 仅 涉及 技术 问题 ,还 涉及 管理 法律 和 
道德 ,是 一 个 社会 问题 。 

目前 关于 网 络 安全 的 教材 和 参考 书 已 很 多 ,但 一 般 都 是 理论 知识 和 技术 原理 介绍 得 较 
多 较 深 ,网 络 安全 的 实际 案例 .软件 工具 应 用 和 实际 操作 技能 介绍 得 较 少 ,比较 适合 于 研究 
型 大 学 的 本 科 生 或 研究 生 使 用 。 而 对 于 应 用 型 本 科 和 高 职 ` 大 专 学 生 而 言 , 在 了 解 简单 的 网 
络 安全 知识 和 技术 原理 的 基础 上 ,应 重点 掌握 和 熟练 运用 相关 的 网 络 安全 技术 和 实际 解决 
方案 。 

本 书 在 介绍 网 络 安全 基本 知识 的 基础 上 ,重点 介绍 了 网 络 安全 技术 及 其 应 用 。 在 内 容 
上 除 第 1 童 简单 介绍 有 关 网 络 安全 的 概念 、 安 全 策略 和 安全 管理 知识 外 ,此 后 各 章 在 介绍 的 
相关 网 络 安全 技术 后 均 配 以 相应 的 实践 内 容 或 应 用 实例 , 旨 在 培养 学 生 的 实际 动手 能 力 和 
解决 问题 的 操作 技能 。 

本 书 从 网 络 系统 安全 管理 和 应 用 的 角度 出 发 ,强调 理论 联系 实际 ,体现 培养 学 生 的 网 络 
管理 .安全 技术 应 用 能 力 和 实践 操作 技能 的 特色 。 全 书 共有 9 章 , 内 容 包 括 网 络 安全 概述 、 
网 络 设备 的 安全 与 应 用 实践 、 网 络 操作 系统 安全 与 管理 实践 .数据 加 密 技 术 与 应 用 实践 、 软 
件 安全 技术 与 应 用 实践 .网 络 攻防 技术 与 应 用 实践 .VPN 安全 技术 与 应 用 实践 ,无 线 网 络 的 
安全 与 应 用 实践 和 电子 邮件 安全 与 应 用 实践 等 。 

本 书 对 网 络 安全 的 理论 和 技术 原理 等 介绍 适度 ,典型 实例 的 应 用 性 和 可 操作 性 强 , 章 末 
配 有 习题 和 思考 题 ,便于 学 生 学 习 和 实践 。 本 书 可 作为 普通 高 校 计算 机 专业 .通信 专业 及 相 
关 专 业 的 本 科 生 \ 大 专 生 教材 ,也 可 作为 网 络 管理 人 员 、 网 络 工程 技术 人 员 和 信息 安全 管理 
人 员 以 及 对 网 络 安全 感 兴趣 读者 的 参考 书 。 

本 书 由 刘 远 生 任 主编 , 辛 一 、 李 民 任 副 主编 ,参加 编写 的 还 有 薛 庆 水 ` 张 明 辉 , 丛 晓 红 、 刘 
全 有 鼎 、 刘 野 等 ,全 书 由 刘 远 生 统 阅 定稿 。 在 本 书 的 编写 过 程 中 得 到 了 清华 大 学 出 版 社 编辑 的 
大 力 支持 和 帮助 ,在 此 表示 衷心 的 感谢 。 
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由 于 编者 水 平 有 限 , 书 中 难免 存在 缺点 和 不 足 之 处 ,殷切 希望 各 位 读者 提出 宝贵 意见 ， 
县 请 各 位 专家 、 学 者 给 予 批评 指正 。 编 者 也 希望 与 各 位 读者 多 多 交流 ,联系 邮箱 为 ysliu@ 
sjtu, edu. cn。 

本 书 的 配套 课件 等 资料 可 以 从 清华 大 学 出 版 社 网 站 (http://www. tup. tsinghua. edu. 
cn) 下 载 , 相 关 问 题 联系 fuhy@tup. tsinghua. edu. cn。 
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计算 机 网 络 技术 是 由 现代 通信 技术 和 计算 机 技术 的 高 速 发 展 、 密 切 结合 而 产生 和 发 展 
起 来 的 ,是 20 世纪 最 伟大 的 科学 技术 成 就 之 一 。 计 算 机 网 络 的 发 展 速度 又 超过 了 世界 上 任 
何 一 种 其 他 科学 技术 的 发 展 速度 。 计 算 机 技术 与 通信 技术 的 结合 使 计算 机 的 应 用 范围 得 到 
了 极 大 的 开拓 。 

计算 机 网 络 的 发 展 ,特别 是 Internet 的 发 展 和 普及 应 用 ,为 人 类 带 来 了 新 的 工作 、 学 习 
和 生活 方式 ,计算 机 网 络 和 人 们 的 工作 与 生活 的 联系 也 越 来 越 密切 。 计 算 机 网 络 系统 提供 
了 丰富 的 资源 以 便 用 户 共享 ,提高 了 系统 的 灵活 性 和 便捷 性 。 通 过 网 络 , 人 们 可 以 与 远 在 天 
涯 的 朋友 互 发 函件 ,可 以 吓 不 出 户 地 浏览 世界 各 地 的 报纸 杂志 ,搜索 自己 所 需 的 信息 ,可 以 
在 家 里 与 世界 各 个 角落 的 陌生 人 打牌 下 棋 …… 但 与 此 同时 ,人 们 也 发 现 自己 的 计算 机 信息 
系统 不 断 受 到 侵害 ,其 形式 多 样 化 ,技术 先进 且 复 杂 化 , 令 人 防不胜防 。 

如 何 使 计算 机 网 络 系 统 不 受 破坏 ,提高 系统 的 安全 可 靠 性 ,已 成 为 人 们 关注 和 骂 须 解决 
的 问题 。 每 个 网 络 机 构 的 管理 人 员 、 网 络 系统 用 户 和 工程 技术 人 员 都 应 该 掌握 一 定 的 计算 
机 网 络 安全 技术 ,以 使 自己 的 信息 系统 能 够 安全 稳定 地 运行 并 提供 正常 的 安全 服务 。 


(1 网 络 安全 概论 


计算 机 网 络 系统 的 安全 问题 变 得 日 益 突出 和 复杂 。 一 方面 ,计算 机 网 络 系统 提供 了 丰 
富 的 资源 以 便 用 户 共享 ; 另 一 方面 ,也 增加 了 网 络 系统 的 脆弱 性 和 网 络 安全 的 复杂 性 ,资源 
共享 增加 了 网 络 受 威胁 和 攻击 的 可 能 性 。 事 实 上 ,资源 共享 和 网 络 安全 是 一 对 矛盾 , 随 着 资 
源 共 享 的 加 强 , 网 络 安全 的 问题 也 日 益 突出 。 因 此 ,为 使 计算 机 网 络 系统 不 受 破坏 ,提高 系 
统 的 安全 可 靠 性 已 成 为 人 们 关注 和 必须 解决 的 问题 。 每 个 计算 机 用 户 也 应 该 掌握 一 定 的 计 
算 机 网 络 安全 技术 ,以 使 自己 的 信息 系统 能 够 安全 、 稳 定 地 运行 。 


1.1.1 网 络 安全 的 概念 
1. 网 络 安全 的 含义 


网 络 安全 是 一 门 涉 及 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 信息论、 应 用 数学 , 信 
息 安 全 技术 等 多 种 学 科 的 综合 性 学 科 。 网 络 安 全 是 指 利用 各 种 网 络 管理 、 控 制 和 技术 措施 ， 
使 网 络 系统 的 硬件 ,软件 及 其 系统 中 的 数据 资源 受到 保护 ,不 因 一 些 不 利 因素 影响 而 使 这 些 
资源 遭 到 破坏 、 更 改 、 泄 露 , 保 证 网 络 系 统 连 续 、 可 靠 、 安 全 地 运行 。 
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计算 机 网 络 安全 归根 到 底 就 是 : 确保 计算 机 网 络 环境 下 信息 系统 的 安全 运行 和 在 信息 
系统 中 存储 、 处 理 和 传输 的 信息 受到 安全 保护 ,这 就 是 通常 所 说 的 保证 网 络 系统 运行 的 可 靠 
性 ,确保 信息 的 保密 性 、 完 整 性 、 可 用 性 和 真实 性 。 

网 络 安 全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 从 广义 来 说 ,凡是 涉及 网 络 上 信 
息 的 保密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 真实 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研究 

由 于 现代 的 数据 处 理 系 统 都 是 建立 在 计算 机 网 络 基础 上 的 ,计算 机 网 络 安 全 也 就 是 信 
息 系统 安全 。 网 络 安全 同样 也 包括 系统 安全 运行 和 系统 信息 安全 保护 两 方面 , 即 网 络 安全 
是 对 信息 系统 的 安全 运行 (系统 的 可 靠 性 ) 和 和 运行 在 信息 系统 中 的 信息 进行 安全 保护 (包括 
信息 的 保密 性 .完整 性 和 可 用 性 保护 ) 的 统称 。 信 息 系 统 的 安全 运行 是 信息 系统 提供 有 效 服 
务 ( 即 可 用 性 ) 的 前 提 , 信 息 的 安全 保护 主要 是 确保 数据 信息 的 保密 性 和 完整 性 。 


2. 网 络 安全 的 特征 


由 上 述 可 知 , 网 络 安全 的 主要 特征 就 是 保证 网 络 安全 的 主要 目标 , 即 保证 系统 的 可 靠 
性 、 软 件 及 数据 的 完整 性 。 

(1) 网 络 系统 的 可 靠 性 (reliability) 是 系统 正常 运行 的 特性 , 即 指 保证 网 络 系统 不 因 各 
种 因素 的 影响 而 中 断 正常 工作 。 

(2) 信息 的 完整 性 (integrity) 是 信息 未 经 授权 不 能 进行 改变 的 特性 。 一 方面 是 指 在 系 
统 中 存储 和 传输 的 信息 不 被 非法 操作 , 即 保证 信息 不 被 插入 、 更 改 、 替 换 和 删除 ,数据 分 组 不 
丢失 \ 乱 序 , 数 据 库 或 系统 中 的 数据 不 被 破坏 ; 另 一 方面 是 指 信息 处 理 方法 的 正确 性 ,因为 
不 当 的 操作 可 能 使 数据 文件 丢失 。 

(3) 信息 的 可 用 性 Cavailability) 是 可 被 授权 实体 访问 并 按 需求 使 用 的 特性 , 即 指 信息 和 
相关 的 信息 资产 在 授权 人 需要 时 可 以 立即 获得 ,在 保证 信息 完整 性 的 同时 ,能 使 这 些 信息 被 
正常 地 利用 和 操作 。 

(4) 信息 的 保密 性 (confidentiality) 是 信息 不 泄露 给 非 授权 用 户 、 实 体 或 过 程 的 特性 。 
利用 密码 技术 对 数据 进行 加 密 处 理 后 , 即 可 保证 信息 仅仅 为 那些 被 授权 使 用 的 人 得 到 ,而 不 
被 非 授 权 人 识别 。 


1.1.2 网 络 安全 需求 与 安全 目标 


网 络 安全 是 一 个 系统 的 概念 ,有 效 的 安全 策略 的 制定 是 网 络 信 息 安 全 的 首要 目标 。 通 
过 对 网 络 结构 、 网 络 安全 的 风险 分 析 , 对 于 不 同 的 安全 风险 可 以 采用 不 同 的 安全 措施 加 以 解 
决 ,使 网 络 安全 达到 一 定 的 安全 目标 。 


1. 安全 需求 

(1) 物理 安全 需求 

针对 重要 信息 可 能 通过 电磁 辐射 或 线路 干扰 等 泄露 的 问题 ,需要 对 存放 机 密 信息 的 机 
房 进行 必要 的 干扰 和 屏蔽 设计 。 采 用 辐射 干扰 机 ,防止 电磁 辐射 泄露 机 密 信息 ; 通过 对 其 
他 重要 设备 进行 备份 ,对 重要 系统 进行 备份 等 进行 安全 保护 。 
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(2) 访问 控制 需求 

访问 控制 包括 防范 非法 用 户 对 网 络 的 非法 访问 、 防 范 合法 用 户 对 网 络 资源 的 非 授权 访 
问 和 防范 假冒 合法 用 户 对 网 络 的 非法 访问 。 非 法 用 户 对 网 络 的 访问 多 为 黑客 或 间谍 的 攻击 
行为 ; 合法 用 户 的 非 授 权 访 问 是 指 合 法 用 户 在 没有 得 到 许可 的 情况 下 访问 了 他 本 不 该 访问 
的 资源 ; 假冒 合法 用 户 对 网 络 的 非法 访问 是 指 非 网 络 用 户 假 冒 网 络 用 户 的 IP 地 址 或 用 户 
名 等 资源 对 网 络 进 行 的 访问 。 

(3) 加 密 设 备 需求 

加 密 传 输 是 保护 网 络 信息 安全 的 重要 手段 之 一 。 信 息 的 泄露 很 大 程度 上 都 是 因为 在 链 
路 上 被 搭 线 窃取 的 ,数据 也 可 能 因为 在 链 路 上 被 截获 、 算 改 后 传输 给 对 方 ,使 其 真实 性 、 完 整 
性 得 不 到 保证 。 如 果 利 用 加 密 设备 对 传输 的 数据 进行 加 密 , 使 得 在 网 上 传输 的 数据 以 密 文 
形式 出 现 , 则 即使 这 些 信息 在 传输 过 程 中 被 截获 ,入 侵 者 也 读 不 懂 , 而 且 加 密 机 还 能 通过 先 
进 的 技术 手段 对 数据 传输 过 程 中 的 完整 性 、 真 实 性 进行 鉴别 。 可 以 保证 数据 的 保密 性 、 完 整 
性 及 可 靠 性 。 因 此 ,必须 配备 加 密 设备 对 数据 进行 传输 加 密 。 

(4) 入 侵 检 测 系 统 需 求 

防火 墙 是 实现 网 络 安全 最 基本 、 最 经 济 、 最 有 效 的 措施 之 一 , 它 可 对 通过 它 的 所 有 访问 
进行 严格 控制 (允许 、 禁 止 .报警 )。 若 以 为 网 络 配 了 防火 墙 就 安全 了 的 想法 是 错误 的 。 因 为 
网 络 安 全 是 整体 的 动态 的 ,不 是 单一 产品 能 够 完全 实现 的 。 防 火 墙 不 可 能 完全 防止 所 有 的 
攻击 ,特别 是 新 的 攻击 ,也 不 能 阻止 那些 绕 过 它 的 攻击 。 所 以 确保 网 络 更 加 安全 必须 配备 入 
侵 检 测 系统 ,应 对 透 过 防火 墙 的 攻击 进行 检测 并 做 相应 反应 (记录 、 报 警 . 阻 断 ) 。 

(5) 安全 风险 评估 系统 需求 

网 络 系统 存在 安全 漏洞 和 操作 系统 漏洞 ,这 是 黑客 等 人 侵 者 攻击 屡屡 得 手 的 重要 原因 。 
入 侵 者 通常 是 通过 一 些 程序 来 探测 网 络 系统 中 存在 的 安全 漏洞 ,然后 对 这 些 漏 洞 采取 相应 
的 技术 进行 攻击 。 因 此 ,必须 配备 网 络 安全 扫描 系统 检测 网 络 中 存在 的 安全 漏洞 ,采用 相应 
的 措施 填补 系统 漏洞 ,并 对 网 络 设备 等 存在 的 不 安全 配置 重新 进行 安全 配置 。 

(6) 防 病毒 系统 需求 

针对 网 络 病毒 危害 性 大 且 传播 迅速 的 特点 ,必须 配备 从 单机 到 服务 器 的 整套 防 病毒 软 
件 , 实 现 全 网 的 病毒 安全 防护 。 


2. 安全 目标 


基于 以 上 的 需求 分 析 , 网 络 系统 可 以 实现 以 下 安全 目标 。 

。 保护 网 络 系统 中 存储 和 传输 信息 的 保密 性 和 完整 性 。 

。 保护 网 络 系统 的 可 用 性 。 

保护 网 络 系统 服务 的 可 靠 性 。 

保证 网 络 资源 访问 的 可 控 性 (防范 非法 访问 及 非 授 权 访问 ) 。 
防范 入 侵 者 的 恶意 攻击 与 破坏 。 

防范 病毒 的 侵害 。 

保证 网 络 系统 的 灾难 恢复 能 力 。 

实现 网 络 的 安全 管理 。 
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(1.2 网 络 的 不 安全 因素 
2 


影响 网 络 系统 安全 的 因素 很 多 ,但 不 外 乎 来 自 网 络 系统 外 部 的 威胁 \ 破 坏 和 来 自 系统 内 
部 的 缺陷 (脆弱 性 )。 下 面 就 网 络 系统 的 脆弱 性 和 网 络 系 统 受到 的 主要 威胁 进行 探讨 。 


1.2.1 网 络 系统 的 漏洞 


计算 机 网 络 本 身 存 在 一 些 固 有 的 弱点 (脆弱 性 ), 非 授权 用 户 利用 这 些 脆 弱 性 可 对 网 络 
系统 进行 非法 访问 ,这 种 非法 访问 会 使 系统 内 数据 的 完整 性 受到 威胁 ,也 可 能 使 信息 遭 到 破 
坏 而 不 能 继续 使 用 ,更 为 严重 的 是 有 价值 的 信息 被 窍 取 而 不 留任 何 痕迹 。 

网 络 系统 的 脆弱 性 主要 表现 为 以 下 几 方 面 。 


1. 操作 系统 的 脆弱 性 


网 络 操作 系统 体系 结构 本 身 就 是 不 安全 的 ,具体 表现 如 下 。 

(1) 动态 连接 

为 了 系统 集成 和 系统 扩充 的 需要 ,操作 系统 采用 动态 连接 结构 ,系统 的 服务 和 I/O 操 
作 都 可 以 补丁 方式 进行 升级 和 动态 连接 。 这 种 方式 虽然 为 厂商 和 用 户 提 供 了 方便 ,但 同时 
也 为 黑客 提供 了 入 侵 的 方便 (漏洞 ), 这 种 动态 连接 也 是 计算 机 病毒 产生 的 温床 。 

(2) 创建 进程 

操作 系统 可 以 创建 进程 ,而 且 这 些 进 程 可 在 远程 节点 上 被 创建 与 激活 ,更 加 严重 的 是 被 
创建 的 进程 又 可 以 继续 创建 其 他 进程 。 这 样 ,车 黑客 在 远程 将 “间谍 ”程序 以 补丁 方式 附 在 
合法 用 户 ,特别 是 超级 用 户 上 ,就 能 摆脱 系统 进程 与 作业 监视 程序 的 检测 。 

(3) 空 口 令 和 RPC 

操作 系统 为 维护 方便 而 预 留 的 无 口令 入 口 和 提供 的 远程 过 程 调用 (RPC) 服 务 都 是 黑客 
进入 系统 的 通道 。 

(4) 超级 用 户 

操作 系统 的 另 一 个 安全 漏洞 就 是 存在 超级 用 户 , 如 果 入 侵 者 得 到 了 超级 用 户口 令 ,整个 
系统 将 完全 受 控 于 入 侵 者 。 


2. 计算 机 系统 本 身 的 脆弱 性 


计算 机 系统 的 硬件 和 软件 故障 可 影响 系统 的 正常 运行 ,严重 时 系统 会 停止 工作 。 系 统 
的 硬件 故障 通常 有 硬盘 故障 .电源 故障 .芯片 主板 故障 、 驱 动 器 故障 等 ; 系统 的 软件 故障 通 
常 有 操作 系统 故障 、 应 用 软件 故障 和 驱动 程序 故障 等 。 

3. 电磁 泄露 


计算 机 网 络 中 的 网 络 端口 、 传 输 线 路 和 各 种 处 理 机 都 有 可 能 因 屏 项 不 严 或 未 屏蔽 而 造 
成 电磁 信息 辐射 ,从 而 造成 有 用 信息 甚至 机 密 信息 泄露 。 
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4. 数据 的 可 访问 性 


进入 系统 的 用 户 可 方便 地 复制 系统 数据 而 不 留任 何 痕迹 ; 网 络 用 户 在 一 定 的 条 件 下 ， 
可 以 访问 系统 中 的 所 有 数据 ,并 可 将 其 复制 .删除 或 破坏 掉 。 


5. 通信 系统 和 通信 协议 的 弱点 


网 络 系统 的 通信 线路 面 对 各 种 威胁 显得 非常 脆弱 ,非法 用 户 可 对 线路 进行 物理 破坏 、 拱 
线 窃听 、 通 过 未 保护 的 外 部 线路 访问 系统 内 部 信息 等 。 

通信 协议 TCP/IP 及 FTP、E-mail、NFS、WWW 等 应 用 协议 都 存在 安全 漏洞 ,如 FTP 
的 匿名 服务 浪费 系统 资源 ; E-mail 中 潜伏 着 电子 炸弹 、 病 毒 等 威胁 互联 网 安全 ; WWW 中 
使 用 的 通用 网 关 接 口 (CGI) 程 序 Java Applet 程序 和 SSI(supplemental security income) 等 
都 可 能 成 为 黑客 的 工具 ; 黑客 可 采用 Sock、TCP 预测 或 远程 访问 直接 扫描 等 攻击 防火 墙 。 


6. 数据 库 系统 的 脆弱 性 


由 于 数据 库 管理 系统 (DBMS) 对 数据 库 的 管理 是 建立 在 分 级 管理 的 概念 上 ,因此 ， 
DBMS 的 安全 必须 与 操作 系统 的 安全 配套 ,这 无 疑 是 一 个 先天 的 不 足 之 处 。 

黑客 通过 探访 工具 可 强行 登录 和 越权 使 用 数据 库 数 据 ,可 能 会 带 来 巨大 损失 ; 数据 加 
密 往往 与 DBMS 的 功能 发 生 冲 突 或 影响 数据 库 的 运行 效率 。 

由 于 浏览 器 /服务 器 (B/S) 结 构 中 的 应 用 程序 直接 对 数据 库 进 行 操作 ,所 以 ,使 用 B/S 
结构 的 网 络 应 用 程序 的 某 些 缺陷 可 能 威胁 数据 库 的 安全 。 


7. 网 络 存储 介质 的 脆弱 


各 种 存储 器 中 存储 大 量 的 信息 ,这 些 存 储 介质 很 容易 被 资 穷 或 损坏 ,造成 信息 的 丢失 ; 
存储 器 中 的 信息 也 很 容易 被 复制 而 不 留 痕迹 。 
此 外 ,网 络 系统 的 脆弱 性 还 表现 为 保密 的 困难 性 .介质 的 剩 磁 效 应 和 信息 的 聚 生性 等 。 


1.2.2 网 络 系统 的 威胁 


网 络 系统 面临 的 威胁 主要 来 自 外 部 的 人 为 影响 和 自然 环境 的 影响 ,它们 包括 对 网 络 设 
备 的 威胁 和 对 网 络 中 信息 的 威胁 。 这 些 威胁 的 主要 表现 为 非法 授权 访问 、 信 息 泄露 .假冒 合 
法 用 户 \ 病 毒 破坏 线路 窃听 、 黑 客 入侵, 干扰 系统 正常 运行 ,修改 或 删除 数据 等 。 这 些 威胁 
大 致 可 分 为 无 意 威 胁 和 故意 威胁 两 大 类 。 


1. 无 意 威 胁 


无 意 威胁 是 在 无 预谋 的 情况 下 破坏 系统 的 安全 性 、 可 靠 性 或 信息 的 完整 性 。 无 意 威胁 
主要 是 由 一 些 偶然 因素 引起 ,如 软 、 硬 件 的 性 能 失常 人 为 误 操 作 、 电 源 故 障 和 自然 灾害 等 。 

人 为 的 失误 现象 有 : 人 为 误 操作 ,管理 不 善 而 造成 系统 信息 丢失 、 设 备 被 盗 ,发 生火 灾 、 
水 灾 , 安 全 设置 不 当 而 留 下 的 安全 漏洞 ,用 户口 令 不 慎 暴 露 ,信息 资源 共享 设置 不 当 而 被 非 
法 用 户 访问 等 。 

自然 灾害 威胁 如 地 震 、 风 暴 、 泥 石 流 、 洪 水 、 闪 电 雷 击 、 虫 鼠 害 及 高 温 、 各 种 污染 等 构成 的 
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威胁 。 
2. 故意 威胁 


故意 威胁 实际 上 就 是 “人 为 攻击 ”。 由 于 网 络 本 身 存在 脆弱 性 ,因此 总 有 某 些 人 或 某 些 
组 织 想方设法 利用 网 络 系统 达到 某 种 目的 ,如 从 事 工 业 、 商 业 或 军事 情报 搜集 工作 的 “ 间 
谍 ”, 对 相应 领域 的 网 络 信息 是 最 感 兴趣 的 ,他 们 对 网 络 系统 的 安全 构成 了 主要 威胁 。 

攻击 者 对 系统 的 攻击 范围 可 从 随便 浏览 信息 到 使 用 特殊 技术 对 系统 进行 攻击 ,以 便 得 
到 有 针对 性 的 信息 。 这 些 攻 击 又 可 分 为 被 动 攻击 和 主动 攻击 。 

被 动 攻击 是 指 攻击 者 只 通过 监听 网 络 线路 上 的 信息 流 而 获得 信息 内 容 ; 或 获得 信息 的 
长 度 ,传输 频率 等 特征 ,以 便 进行 信息 流量 分 析 攻 击 。 被 动 攻击 不 干扰 信息 的 正常 流动 ,如 
被 动 地 搭 线 窃听 或 非 授 权 地 阅读 信息 。 被 动 攻击 破坏 了 信息 的 保密 性 。 

主动 攻击 是 指 攻 击 者 对 传输 中 的 信息 或 存储 的 信息 进行 各 种 非法 处 理 , 有 选择 地 更 改 、 
搬入、 延迟 .删除 或 复制 这 些 信息 。 主 动 攻击 常用 的 方法 有 自 改 程序 及 数据 ,假冒 合法 用 户 
入 侵 系 统 、 破 坏 软件 和 数据 ,中断 系统 正常 运行 .传播 计算 机 病毒 . 耗 尽 系统 的 服务 资源 而 造 
成 拒绝 服务 等 。 主 动 攻击 的 破坏 力 很 大 , 它 直接 威胁 网 络 系统 的 可 靠 性 、 信 息 的 保密 性 、 完 
整 性 和 可 用 性 。 

被 动 攻击 不 容易 被 检测 到 ,因为 它 没 有 影响 信息 的 正常 传输 ,发 送 和 接收 双方 均 不 容易 
觉察 。 但 被 动 攻击 却 容易 防止 ,只 要 采用 加 密 技术 将 传输 的 信息 加 密 , 即 使 该 信息 被 窃取 ， 
非法 接收 者 也 不 能 识别 信息 的 内 容 。 

主动 攻击 较 容易 被 检测 到 ,但 却 难 于 防止 。 因 为 正常 传输 的 信息 被 算 改 或 被 伪造 ,接收 
方 根据 经 验 和 规律 能 容易 地 觉察 出 来 。 除 采用 加 密 技术 外 ,还 要 采用 鉴别 技术 和 其 他 保护 
机 制 和 措施 ,才能 有 效 地 防止 主动 攻击 。 

被 动 攻击 和 主动 攻击 有 以 下 4 种 具体 类 型 。 

(1) 窃取 (interception) : 攻击 者 未 经 授权 浏览 了 信息 资源 。 这 是 对 信息 保密 性 的 威 
胁 , 例 如 通过 搭 线 捕获 线路 上 传输 的 数据 等 。 

(2) 中 断 (interruption) : 攻击 者 中 断 正常 的 信息 传输 ,使 接收 方 收 不 到 信息 ,正常 的 信 
息 变 得 无 用 或 无 法 利用 ,这 是 对 信息 可 用 性 的 威胁 ,例如 破坏 存储 介质 .切断 通信 线路 、 侵 犯 
文件 管理 系统 等 。 

(3) 算 改 (modification) : 攻击 者 未 经 授权 而 访问 了 信息 资源 ,并 算 改 了 信息 。 这 是 对 
信息 完整 性 的 威胁 ,例如 修改 文件 中 的 数据 、 改 变 程序 功能 、 修 改 传输 的 报 文 内 容 等 。 

(4) 伪造 (fabrication) : 攻击 者 在 系统 中 加 入 了 伪造 的 内 容 。 这 也 是 对 数据 完整 性 的 
威胁 ,如 向 网 络 用 户 发 送 虚假 信息 ,在 文件 中 插入 伪造 记录 等 。 


1.2.3 Internet 上 的 危险 


Internet 上 存在 着 各 种 各 样 的 危险 ,这 些 危 险 有 恶意 的 (如 故意 偷 取 企 业 机 密 、 毁 坏 企 
业 数据 等 ) ,也 有 非 恶意 的 (如 因 失 误 而 造成 的 事故 )。Internet 上 的 危险 不 仅 来 自 于 外 部 ， 
有 时 也 来 自 内 部 。 虽 然 在 Internet 上 存在 不 同 程度 的 危险 ,但 为 了 企业 的 业务 发 展 ,很 多 企 
业 不 得 不 把 企业 的 内 部 网 与 Internet 互联 ,向 雇员 提供 Internet 的 访问 。 

比较 典型 的 Internet 危险 主要 有 如 下 几 个 方面 。 
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(1) 软 硬 件 设 计 故 障 导致 网 络 次 痪 。 如 防火 墙 意外 瘫痪 而 导致 失效 ,以 致 安全 设置 形 
同 虚 设 ; 由 于 内 外 部 人 员 同 时 访问 导致 服务 器 负载 过 大 以 致死 机 ,严重 者 导致 数据 丢失 等 。 

(2) 黑客 人 侵 。 一 些 不 怀 好 意 的 人 强行 闻 入 企业 内 部 网 实施 破坏 ， 冒充 合法 的 用 户 进 
入 企业 网 内 部 ,偷盗 企业 机 密 信息 和 破坏 企业 形象 等 。 

(3) 敏感 信息 泄露 。 导 致 敏感 信息 泄露 的 原因 如 寻 径 错误 的 电子 邮件 .配置 错误 的 访 
问 控制 列表 ,没有 设置 好 不 同 用 户 的 访问 权限 等 。 有 时 网 管 员 对 安全 权限 设置 不 当 , 导 致 某 
些 有 恶意 的 人 故意 破坏 企业 商业 机 密 信息 的 完整 性 ,以 及 向 竞争 对 手 故意 泄露 商业 机 密 等 。 

Internet 之 所 以 存在 危险 的 因素 ,主要 是 因为 Internet 本 身 存在 安全 漏洞 。 在 设计 之 
初 ,设计 者 根本 就 没 想到 Internet 会 普及 和 发 展 到 现在 这 种 程度 。 在 开发 TCP/IP 协议 时 ， 
主要 考虑 的 是 数据 的 共享 ,忽略 了 数据 安全 。 因 此 Internet 危险 产生 的 原因 如 下 。 

。 不同 厂商 不 同 标准 的 产品 集成 在 网 络 中 引起 配置 的 复杂 性 。 具 体 说 就 是 网 络 安全 
控制 由 于 各 种 各 样 的 硬件 产品 与 软件 产品 的 加 入 使 安全 配置 变 得 异常 复杂 ,很 容易 
出 现 配置 错误 或 失误 ,以 致 导致 未 经 授权 的 访问 。 
缺乏 相应 的 总 体 考 虑 。 有 些 网 络 在 进行 系统 配置 时 ,无 意识 地 扩大 了 Internet 的 访 
问 范围 ,没有 意识 到 某 些 Internet 服务 会 被 滥用 ,许多 企业 网 所 允许 的 访问 服务 类 
型 过 多 ,不 能 对 一 些 可 能 会 对 入 侵 者 有 所 帮助 的 网 络 信息 加 以 访问 限制 。 

TCP/IP 协议 本 身 固有 的 缺陷 。TCP/IP 本 身 存在 一 些 缺陷 ,一 些 有 经 验 的 黑客 很 
容易 利用 TCP/IP 的 缺陷 攻击 企业 网 。 

大 部 分 数据 没有 加 密 。 企 业 数 据 在 传递 过 程 中 很 少 有 加 密 的 ,现在 有 很 多 现成 的 软 
件 都 能 对 此 进行 半路 拦截 。 


(3 网 络 风险 与 安全 评估 


1.3.1 网 络 风 险 评估 


定期 地 对 企业 的 安全 工作 进行 分 析 是 非常 重要 的 ,但 同样 不 可 轻视 的 还 包括 在 这 个 过 
程 中 进行 网 络 风险 评估 。 


1. 网 络 风险 评估 的 概念 


风险 评估 (risk assessment) 是 对 信息 资产 面临 的 威胁 .存在 的 弱点 .造成 的 影响 ,以 及 
三 者 综合 作用 而 带 来 风险 的 可 能 性 的 评估 。 作 为 风险 管理 的 基础 ,风险 评估 是 组 织 确定 信 
息 安 全 需求 的 一 个 重要 途径 ,属于 组 织 信息 安全 管理 体系 策划 的 过 程 。 

网 络 风险 评估 包括 对 来 自 企 业 外 部 和 内 部 的 网 络 风险 进行 评估 。 对 企业 内 部 的 网 络 风 
险 评估 与 外 部 的 风险 评估 使 用 相同 的 方法 ,不 过 要 从 访问 内 网 的 用 户 角 度 来 进行 。 

网 络 安全 在 过 去 一 直 倾向 于 采取 被 动 式 管理 的 防护 策略 ,被 动 式 防护 所 使 用 的 设备 及 
工具 也 是 最 省 事 且 直接 有 效 的 ,例如 防火 墙 \ 入 侵 检测 等 。 但 在 复合 式 病毒 出 现 后 ,被 动 式 
的 防护 策略 已 显得 防御 力 不 足 ,会 给 企 事业 单位 造成 大 量 的 损失 。 漏 洞 扫描 仪 (vulnerability 
scanner) 是 网 络 安全 中 评估 弱点 及 风险 的 重要 工具 ,其 主要 功能 是 找 出 网 络 主机 及 设备 的 
漏洞 .隐藏 性 风险 以 及 鉴定 网 络 架 构 的 安全 程度 ,可 对 SMTP、POP、HTTP、FTP、SNMP、 
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Telnet\SSH NEFS 等 协议 及 账号 密码 管理 玖 失 及 不 当 的 设 定 做 安全 检测 。 它 还 可 对 防火 
墙 . 路 由 器 等 硬 设 备 以 及 数据 库 服务 器 等 进行 检测 。 漏 洞 扫描 后 所 产生 的 风险 评估 安全 报 
告 也 可 以 分 别提 供给 管理 者 及 技术 人 员 ,管理 者 风险 评估 报告 仅 提供 了 解 整个 网 络 的 安全 
状态 及 风险 程度 分 析 , 而 技术 人 员 报 告 则 提供 每 一 个 弱点 说 明 ,修补 建议 ,以 及 技术 人 员 的 
修补 方法 。 这 样 可 将 隐藏 性 风险 及 威胁 降 至 最 低 ,使 原本 必须 大 费 周 折 的 弱点 评估 管理 工 
作 变 得 轻松 容易 。 
网 络 的 安全 管理 是 必需 的 ,企业 必须 先 评估 现 有 网 络 的 安全 状况 ,才能 充分 了 解 自身 网 
络 的 安全 防御 能 力 ,并 拟定 妥善 的 网 络 安全 政策 ,配合 适当 的 防护 设备 .定期 审核 并 与 系统 
管理 制度 紧密 配合 ,才能 在 利用 网 络 高 效率 的 同时 ,保护 网 络 及 资源 不 至 于 被 破坏 或 窃取 。 
一 般 来 说 ,一 个 有 效 的 网 络 风险 评估 测试 方法 可 以 解决 以 下 问题 。 
。 防火 墙 配置 不 当 的 外 部 网 络 拓扑 结构 。 
。 路 由 器 过 滤 规 则 和 配置 。 
弱 认 证 机 制 。 
配置 不 当 或 易 受 攻击 的 电子 邮件 和 DNS 服务 器 。 
。 潜在 的 网 络 层 Web 服务 器 漏洞 。 
。 配置 不 当 的 数据 库 服务 器 。 
。 SNMP 核查 。 
。 昂 受 攻击 的 FTP 服务 器 。 


2. 网 络 风险 评估 过 程 


进行 网 络 风险 评估 可 以 分 为 发 现 (discovery) ,设备 分 析 (device profiling)、 扫 描 (scanning) 
和 确认 (validation)4 个 过 程 。 

(1) 发 现 

发 现 过 程 要 完成 的 任务 是 为 要 进行 评估 的 网 络 建立 一 个 档案 。 这 个 档案 中 将 包括 所 有 
活动 设备 的 地 址 和 与 它们 相关 的 TCP、UDP 和 其 他 内 部 网 络 可 访问 的 服务 。 

在 该 过 程 中 ,可 以 同时 使 用 主动 式 和 被 动 式 嗅 探 器 来 收集 网 络 流量 ,以 备 进行 分 解 和 分 
析 。 通 过 这 种 方法 获得 的 信息 应 当 包括 活动 主机 的 身份 证 明 、 认 证 证 书 ( 诸 如 用 户 名 和 密码 
组 合 ) 潜在 的 计算 机 蠕虫 或 木马 发 作 的 迹象 和 其 他 漏洞 。 

该 过 程 的 常见 工具 有 Nmap( 一 个 网 络 服务 端口 扫描 器 , 它 使 用 不 同 的 技术 来 躲避 网 络 
IDS 的 检测 )、Ethereal( 一 个 被 动 式 网 络 嗅 探 器 ,支持 捕获 和 解释 数据 链接 层 、 网 络 层 和 应 用 
层 的 协议 数据 )、Firewalk( 一 种 高 级 路 由 跟踪 工具 , 它 使 用 类 似 路 由 跟踪 技术 来 分 析 IP 数 
据 包 的 反馈 ,以 确定 网 关 ACL 过 滤器 类 型 和 网 络 结构 ) 和 hping( 一 个 基于 命令 行 的 TCP/ 
IP 工 具 , 具 有 防火 墙 探 测 、 高 级 端口 扫描 、 网 络 测试 、 高 级 路 由 等 功能 )。 

(2) 设备 分 析 

在 设备 分 析 阶 段 , 通 过 使 用 前 一 阶段 所 收集 的 数据 信息 ,能 分 析出 一 个 列表 ,其 中 包括 
可 访问 的 网 络 服务 .IP 协议 堆栈 特征 及 网 络 体系 架构 。 通 过 这 些 信 息 , 可 以 确定 在 网 络 架 
构 中 的 每 一 台 设 备 所 扮演 的 角色 和 相互 信任 关系 。 

(3) 扫描 

针对 前 两 个 过 程 中 发 现 的 每 一 个 网 络 服务 进行 已 知 安全 漏洞 的 测试 ,这 就 是 扫描 过 程 。 
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一 般 来 说 ,这 些 安全 漏洞 可 以 归 为 一 类 或 几 类 ,其 中 包括 系统 漏洞 .未 授权 数据 访问 、 信 息 泄 
露 、 命 令 执 行 和 拒绝 服务 (DoS)。 在 某 些 情况 下 ,针对 一 个 特定 的 网 络 服务 可 以 通过 使 用 
Nessus \nikto 等 软件 来 检测 (扫描 ) 与 其 相关 的 安全 风险 。 

(4) 确认 

完成 网 络 风险 评估 前 三 个 过 程 的 工作 后 ,就 要 确认 漏洞 扫描 阶段 得 到 的 所 有 结果 。 确 
认 过 程 应 用 的 测试 和 技巧 往往 专门 针对 所 探测 到 的 安全 漏洞 。 通 过 该 阶段 将 得 到 本 次 网 络 
风险 评估 的 最 后 结果 。 


1.3.2 网 络 安全 评估 


通过 对 网 络 系统 进行 全 面 、 充 分 有 效 的 安全 评估 ,能 够 快速 检测 出 网 络 上 存在 的 安全 
隐患 .网 络 系统 中 存在 的 安全 漏洞 网 络 系 统 的 抗 攻 击 能 力 等 。 根 据 对 网 络 业务 的 安全 需 
求 ,安全 策略 和 安全 目标 的 评估 结果 ,提出 合理 的 安全 防护 措施 建议 。 

网 络 安全 评估 主要 包括 以 下 内 容 。 


1. 安全 策略 评估 


(1) 根据 网 络 系 统 的 规划 和 设计 文档 、 安 全 需求 分 析 文 档 、 网 络 安全 风险 评估 文档 和 安 
全 目标 ,来 评估 网 络 安 全 策略 的 有 效 性 。 

(2) 可 采用 专家 分 析 的 方法 ,主要 评估 安全 策略 是 否 满足 安全 需求 .是否 能 够 实现 安全 
目标 、 安 全 策略 是 否 有 效 、 是 否 容易 实现 、 是 否 符合 安全 设计 原则 、 各 安全 策略 是 否 一 致 等 。 

(3) 根据 评估 结果 描述 安全 策略 的 完整 性 、 准 确 性 和 一 致 性 。 


2. 网 络 物理 安全 评估 


(1) 网 络 物理 安全 评估 的 项 目 包 括 网 络 基础 设施 、 配 电 系 统 ,以 及 服务 器 、 交 换 机 、 路 由 
器、 配 线 柜 、 主 机 房 、 工 作 站 、 工 作 间 和 记录 媒体 等 硬件 设备 。 

(2) 可 采用 专家 分 析 法 ,主要 评估 以 上 各 类 设备 对 物理 访问 控制 (包括 安全 隔离 ,门禁 
控制 .访问 权限 和 时 限 \ 访 问 登 记 等 )、 安 全 防护 措施 (防盗 、 防 水、 防火 防震 等 ) 和 备份 (安全 
恢复 中 需要 的 重要 部 件 的 备份 ) 的 要 求 是 否 实现 、 是 否 满足 安全 需求 。 

(3) 根据 评估 结果 描述 网 络 系统 的 物理 安全 情况 。 


3. 网 络 隔离 的 安全 性 评估 


(1) 网 络 隔离 的 安全 性 评估 项 目 包括 网 络 系统 内 部 与 外 部 的 隔离 安全 性 、 内 部 虚 网 划 
分 和 网 段 划分 的 安全 性 和 远程 连接 (VPN、Modem) 的 安全 性 。 

(2) 可 采用 侦 听 工具 评估 防火 墙 过 滤 和 交换 机 、 路 由 器 实现 虚 网 划分 的 情况 ; 采用 漏 
洞 扫描 软件 评估 防火 墙 、 交 换 机 和 路 由 器 是 否 存 在 安全 漏洞 。 

(3) 根据 评估 结果 描述 网 络 隔离 的 安全 性 。 


4. 系统 配置 的 安全 性 评估 


(1) 系统 配置 安全 性 的 评估 项 目 有 各 网 络 设备 (路 由 器 、 交 换 机 、Hub) 的 网 管 代理 是 否 
修改 了 默认 值 ,是 否 有 措施 保证 普通 用 户 不 能 远程 登录 路 由 器 、 交 换 机 等 网 络 设备 ,服务 模 
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式 的 设置 ,服务 软件 版 本 的 更 新 ,操作 系统 的 漏洞 和 设备 的 安全 性 。 

(2) 可 采用 漏洞 扫描 软件 ,测试 操作 系统 存在 哪些 漏洞 ; 检查 网 络 系统 采用 的 各 设备 
是 否 采用 了 安全 性 得 到 认证 的 产品 ; 根据 设计 文档 ,检查 网 络 系统 配置 是 否 被 更 改 和 更 改 
原因 等 是 否 满足 安全 需求 。 

(3) 根据 评估 结果 描述 网 络 系统 配置 的 安全 状况 。 


5. 网 络 防 护 能 力 评估 


(1) 网 络 防护 能 力 的 评估 内 容 包括 对 拒绝 服务 、 电 子 欺骗 .网络 侦 听 、 入 侵 等 攻击 形式 
是 否 采取 了 相应 的 防护 措施 及 防护 措施 是 否 有 效 。 

(2) 可 采用 模拟 攻击 、 漏 洞 扫描 软件 等 评估 网 络 的 防护 能 力 。 

(3) 根据 评估 结果 描述 网 络 的 防护 能 力 。 


6. 网 络 服务 的 安全 性 评估 


(1) 网 络 服务 的 安全 性 评估 项 目 有 服务 隔离 的 安全 性 (根据 信息 敏感 级 别 要 求 是 否 实 
现 不 同 服务 的 隔离 ) 和 服务 的 脆弱 性 分 析 ( 主 要 测试 系统 开放 的 服务 是 否 存在 安全 漏洞 ) 。 

(2) 可 采用 漏洞 扫描 软件 ,测试 网 络 系统 开放 的 服务 是 否 存在 安全 漏洞 ; 模拟 各 服务 
的 实现 条 件 ,检测 服务 的 运行 情况 。 

(3) 根据 评估 结果 描述 网 络 服务 的 安全 性 。 

7. 网 络 应 用 系统 的 安全 性 评估 

(1) 网 络 应 用 系统 的 安全 性 评估 项 目 包括 应 用 程序 是 否 存 在 安全 漏洞 ,应 用 系统 的 访 
问 授权 ,访问 控制 等 防护 措施 的 安全 性 。 

(2) 主要 采用 专家 分 析 和 模拟 测试 的 方法 进行 网 络 应 用 系统 的 安全 性 评估 。 

(3) 根据 评估 结果 描述 系统 应 用 程序 的 安全 性 。 


8. 病毒 防护 安全 性 评估 


(1) 采用 专家 分 析 和 模拟 评估 来 检测 服务 器 .工作 站 和 网 络 系统 是 否 配备 了 有 效 的 病 
毒 检测 软件 和 病毒 清查 的 执行 情况 。 
(2) 根据 评估 结果 描述 对 病毒 防护 的 安全 性 。 


9. 备份 的 安全 性 评估 


(1) 备份 的 安全 性 评估 项 目 有 备份 方式 的 有 效 性 、 备 份 的 充分 性 、 备 份 存储 的 安全 性 和 
备份 的 访问 控制 。 

(2) 可 采用 专家 分 析 的 方法 ,根据 系统 的 安全 需求 .业务 的 连续 性 计划 来 评估 备份 的 安 
全 性 。 

(3) 根据 评估 结果 描述 备份 系统 的 安全 性。 


10. 紧急 事件 响应 能 力 评估 
(1) 紧急 事件 响应 能 力 评估 项 目 包括 是 否 有 紧急 事件 响应 程序 、 响 应 程序 是 否 有 效 以 


及 平时 的 准备 情况 (备份 和 演练 ) 等 。 

(2) 可 模拟 紧急 事件 响应 条 件 , 检 测 紧急 响应 程序 是 否 能 够 有 序 有 效 地 处 理 安全 
事件 。 

(3) 根据 评估 结果 ,描述 紧急 事件 响应 程序 的 充分 性 和 有 效 性 。 


(1.4 网 络 安全 的 策略 与 措施 


网 络 信息 系统 是 一 个 复杂 的 计算 机 系统 , 它 本 身 在 物理 ,操作 和 管理 上 的 种 种 漏洞 构成 
了 系统 的 安全 脆弱 性 ,尤其 是 多 用 户 网 络 系统 自身 的 复杂 性 、 资 源 共 享 性 ,使 单纯 的 技术 保 
护 防不胜防 。 攻 击 者 使 用 的 “最 易 渗透 原则 ”, 必 然 在 系统 中 最 薄弱 的 地 方 进行 攻击 。 因 此 ， 
充分 全面、 完整 地 对 系统 的 安全 漏洞 和 安全 威胁 进行 分 析 ` 评 估 和 检测 是 设计 信息 安全 系 
统 的 必要 前 提 条 件 。 

网 络 安全 涉及 人 、 技 术 、 操 作 等 要 素 , 单 靠 技术 或 管理 都 不 可 能 实现 。 因 此 ,必须 将 各 种 
安全 技术 与 运行 管理 机 制 、 人 员 思 想 教 育 与 技术 培训 、 安 全 规章 制度 建设 相 结合 。 切 忌 只 重 
视 其 中 一 种 而 忽视 另 一 种 的 情况 出 现 ,要 明白 好 的 技术 是 管理 的 基础 ,而 高 效 的 管理 则 是 技 
术 强 有 力 的 保证 。 可 采取 相应 的 网 络 安全 策略 来 实现 网 络 安全 。 这 不 但 要 靠 法 律 的 约束 、 
安全 的 管理 和 教育 ,更 重要 的 是 要 靠 先进 的 网 络 安全 技术 支持 。 

先进 的 网 络 安全 技术 是 网 络 安全 的 根本 保证 。 用 户 对 自身 面临 的 威胁 进行 风险 评估 ， 
决定 其 所 需要 的 安全 服务 种 类 ,选择 相应 的 安全 机 制 ,再 集成 先进 的 安全 技术 ,就 形成 一 个 
可 信赖 的 安全 系统 。 网 络 的 安全 策略 一 般 包括 安全 立法 、 安 全 管理 ,物理 (实体 ) 安 全 ,访问 
控制 ,信息 保密 和 安全 审计 等 方面 ,每 一 项 策略 可 由 多 项 措施 来 实现 。 


1.4.1 网 络 安全 立法 


计算 机 犯罪 是 一 种 高 技术 犯罪 活动 ,也 是 未 来 社会 的 主要 犯罪 形式 之 一 ,因此 , 面 对 日 
益 严重 的 计算 机 犯罪 ,必须 建立 相关 的 法 律 、 法 规 进行 约束 。 通 过 建立 国际 、 国 内 和 地 方 计 
算 机 信息 安全 法 来 减少 计算 机 犯罪 案 ( 如 盗窃 网 络 设施 、 非 法 侵入 网 络 来 破坏 和 盗窃 信息 资 
源 \ 故 意 制造 病毒 破坏 网 络 系统 等 ) 的 发 生 。 由 于 法 律 具有 强制 性 、 规 范 性 、 公 正 性 、 威 慑 性 
和 权威 性 ,因此 它 在 很 多 方面 具有 不 可 替代 的 作用 。 制 定 并 实施 计算 机 信息 安全 法 律 , 加 强 
对 计算 机 网 络 安全 的 宏观 控制 ,对 危害 计算 机 网 络 安全 的 行为 进行 制裁 ,为 网 络 信息 系统 提 
供 一 个 良好 的 社会 环境 是 十 分 必要 的 。 


1. 国外 的 计算 机 信息 安全 立法 


在 国际 上 ,由 于 发 达 国 家 的 计算 机 应 用 已 非常 普及 ,因此 ,其 计算 机 安全 立法 工作 也 早 
已 进行 。 不 同形 式 的 法 律 ,如 (计算 机 安全 法 》《 信 息 自 由 法 》《 伪 造访 问 设备 和 计算 机 欺骗 
与 滥用 法 》《 数 据 保护 法 》《 计 算 机 犯罪 法 》《 计 算 机 软件 保护 法 )《 电 子 资金 转账 法 》《 保 
密 法 》《 个 人 隐私 法 ) 等 均 已 出 台 ,一 些 国 家 还 将 计算 机 犯罪 与 刑法 、 民 法 联系 在 一 起 ,修改 
有 关 条 款 ,颁布 实施 , 收 到 了 和 较 好 的 效果 。 
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2. 我 国 的 计算 机 信息 安全 立法 


我 国 的 计算 机 信息 安全 立法 模式 基本 上 属于 * 渗 透 型 ,国家 未 制定 统一 的 计算 机 信息 
安全 法 ,而 是 将 涉及 信息 安全 的 法 律 规范 渗透 和 融和 人 相关 法 律 ` 行 政法 规 、 部 门 规章 和 地 方 
法 规 中 ,初步 形成 了 由 不 同 法 律 效力 层 构成 的 计算 机 信息 安全 法 律 规范 体系 。 

我 国信 息 安全 立法 有 四 个 层次 : 一 是 由 全 国人 大 常委 会 通过 的 法 律 , 除 《警察 法 》《 刑 
法 》《 保 守 国 家 秘密 法 》 外 ,涉及 计算 机 信息 安全 的 法 律 还 有 《全 国人 大 常委 会 关于 维护 互联 
网 安全 的 决定 ) 等 ; 二 是 国务 院 为 执行 宪法 和 法 律 而 制定 的 行政 法 规 ,主要 有 《中 华人 民 共 
和 国 计 算 机 信息 系统 安全 保护 条 例 》《 计 算 机 信息 网 络 国 际 联网 安全 保护 管理 办 法 》 和 《 互 
联网 上 网 服务 营业 场所 管理 条 例 ) 等 ; 三 是 国务 院 各 部 委 根据 法 律 和 行政 法 规 在 本 部 门 权 
限 范围 内 制定 的 规章 及 规范 性 文件 ,主要 有 《计算 机 病毒 防治 管理 办 法 》《 互 联网 电子 公告 
服务 管理 规定 》《 国 际 互联 网 出 入 信道 管理 办 法 》《 中 国 互联 网 络 域名 注册 实施 细则 》K《 互 
联网 信息 服务 管理 办 法 ) 等 ; 四 是 各 省 、 市 .自治区 制定 的 地 方 性 法 规 ,如 《 X X 省 计算 机 信 
息 系统 安全 保护 管理 规定 ) 等 。 

我 国 缔约 或 参加 的 有 关 计 算 机 及 网 络 信息 的 国际 公约 有 《建立 世界 知识 产权 组 织 公 
约 》《 保 护 文 化 艺术 作品 的 伯尔尼 公约 》《 世 界 版 权 公 约 》《 与 贸易 有 关 的 知识 产权 (包括 假 
冒 商品 贸易 协议》 等 。 


1.4.2 网 络 安全 管理 


安全 管理 和 安全 技术 措施 是 相辅相成 的 ,因此 在 网 络 安全 中 ,在 实施 技术 性 安全 措施 进 
行 的 同时 ,必须 考虑 安全 管理 措施 。 因 为 诸多 的 不 安全 因素 恰恰 反映 在 组 织 管理 和 人 员 使 
用 方面 ,而 这 又 是 计算 机 网 络 安全 所 必须 考虑 的 基本 问题 ,所 以 应 引起 各 计算 机 网 络 应 用 部 
门 领导 的 重视 。 加 强 网 络 的 安全 管理 .制定 有 关 规 章 制度 ,对 于 确保 网 络 的 安全 、 可 靠 运 行 
起 到 十 分 有 效 的 作用 。 网 络 安 全 管理 包括 确定 安全 管理 等 级 和 安全 管理 范围 ,制定 有 关 网 
络 操作 使 用 规程 和 人 员 出 和 人 机 房管 理 制度 ,制定 网 络 系统 的 维护 制度 和 应 急 措施 等 。 

各 计算 机 网 络 使 用 机 构 、 企 业 或 单位 ,应 建立 相应 的 网 络 安全 管理 制度 ,加 强 内 部 管理 ， 
建立 合适 的 网 络 安全 管理 系统 和 安全 审计 与 跟踪 机 制 , 提 高 整体 网 络 的 安全 体系 。 

因此 ,网 络 系统 应 设立 专门 的 安全 管理 机 构 和 人 员 , 负 责 网 络 所 有 日 常安 全 管理 活动 ， 
如 监视 全 网 运行 和 安全 告警 信息 、 网 络 各 个 层次 的 审计 与 日 志 信息 的 常规 分 析 、 安 全 设备 的 
常规 设置 与 维护 、 网 络 系统 安全 策略 的 规划 制定 与 实施 和 网 络 安全 事件 的 处 理 等 。 

网 络 安全 管理 措施 包括 建立 健全 安全 管理 机 构 \ 行 政 人 事 管理 和 系统 安全 管理 制度 等 。 


1. 安全 管理 机 构 


为 保证 计算 机 网 络 系统 的 安全 运行 ,网 络 系统 的 使 用 单位 应 当成 立 计 算 机 安全 管理 机 
构 , 设 立 专 职 安全 人 员 。 这 些 安全 人 员 包 括 安全 管理 、 安 全 审计 、 系 统 分 析 、 软 硬件 管理 、 通 
信和 及 保安 人 员 等 。 

网 络 安全 管理 机 构 的 设置 与 系统 的 规模 直接 相关 。 若 是 一 个 庞大 系统 , 且 终 端 客户 遍 
布 世 界 各 地 , 则 在 每 个 区 域内 都 应 有 一 个 这 样 的 管理 机 构 。 所 以 ,一 个 网 络 系统 设置 多 少 安 
全 管理 机 构 是 不 定 的 ,但 机 构 中 各 有 关 方面 人 员 的 职责 是 固定 的 。 


2. 安全 行政 人 事 管理 


对 计算 机 网 络 信息 系统 的 大 部 分 威胁 都 来 自 人 为 因素 。 因 此 ,无论 系 统 如 何 自动 化 ,总 
是 由 人 设计 和 操作 使 用 的 。 而 人 本 身 是 很 复杂 的 ,是 有 感情 的 , 受 自 身 生 理 和 心理 因素 的 影 
响 和 制约 ,有 时 为 了 达到 某 种 目的 而 不 异 狂 而 走 险 , 利 用 计算 机 系统 进行 犯罪 活动 。 据 研究 
表明 ,从 事 计算 机 职业 犯罪 的 人 员 中 ,70% 是 信息 系统 运行 和 管理 人 员 。 因 此 ,对 信息 系统 
的 运行 和 管理 人 员 进 行 教育 .奖惩 .培养 和 训练 ,加 强行 政和 人 事 管理 ,保证 网 络 信息 安全 和 
保密 是 非常 必要 的 。 

行政 人 事 管理 的 职责 是 制定 严格 的 人 事 管 理 、 岗 位 分 工 , 奖 惩 分 明和 责任 追究 等 规章 制 
度 , 使 网 络 系统 工作 人 员 做 到 各 司 其 职 、 各 负 其 责 、 互 相 监督 和 制约 ,保证 系统 安全 运行 。 


3. 系统 安全 管理 


一 般 来 说 ,网 络 系统 的 安全 管理 主要 是 确定 安全 管理 原则 和 相应 的 安全 管理 制度 。 网 
络 系统 安全 管理 机 构 应 根据 多 人 负责 制 、 职 责 分 离 .任期 有 限 和 最 小 权限 等 原则 ,制定 相应 
的 管理 制度 或 规范 。 

(1) 确定 网 络 系 统 的 安全 等 级 ,根据 系统 的 安全 等 级 ,确定 系统 的 安全 管理 范围 。 对 安 
全 等 级 要 求 较 高 的 系统 ,要 进行 分 区 控制 ,限制 工作 人 员 出 人 与 已 无 关 的 区 域 ; 人 员 的 出 入 
管理 可 采用 身份 证 件 识别 或 安装 自动 识别 登记 系统 ,采用 磁卡 .身份 卡 等 手段 对 出 和 人员 进 
行 识别 和 登记 。 

(2) 制定 安全 管理 制度 ,如 制定 计算 机 机 房 安 全 管理 制度 、 机 房 设 备 和 数据 管理 制 
度 等 。 
(3) 还 要 有 对 操作 系统 和 数据 库 的 访问 的 监控 措施 ,制定 严格 的 操作 规程 ,制定 完备 的 
系统 维护 制度 、 计 算 机 网 络 系统 的 灾害 处 理 对 策 、 灾 难 恢复 计划 和 具体 恢复 措施 等 。 


1.4.3 物理 (实体 ) 安 全 


网 络 实体 是 指 除 一 些 实际 存在 的 物体 和 设备 外 ,还 包括 客观 存在 的 与 某 一 应 用 有 关 的 
事物 ,如 含有 一 个 或 多 个 程序 、 进 程 或 作业 之 类 的 成 分 。 即 实体 既 包 括 硬件 实体 (如 某 一 设 
备 、 某 一 接口 芯片 ) ,也 包括 软件 实体 (如 程序 )。 网 络 实体 安全 保护 就 是 指 采 取 一 定 措施 对 
网 络 的 硬件 系统 ` 数 据 和 软件 系统 等 实体 进行 保护 和 对 自然 与 人 为 灾害 进行 防御 。 

网 络 实体 安全 就 是 保护 计算 机 网 络 设备 .设施 和 其 他 媒体 免 遭 自然 灾害 (如 地 震 \ 水 灾 、 
雷电 、 风 暴 等 ) 和 人 为 灾害 (人 为 操作 失误 或 错误 及 各 种 计算 机 犯罪 行为 ) 导 致 的 破坏 。 网 络 
实体 安全 是 整个 计算 机 网 络 系统 安全 的 前 提 , 它 主要 包括 网 络 环境 安全 (对 系统 所 在 环境 的 
安全 保护 ,如 机 房 安 全 保护 和 灾难 保护 )、 网 络 设备 设施 安全 (包括 设备 的 防盗 、 防 毁 , 对 抗 通 
信和 链 路 上 的 窃听 、 算 改 、 流 量 分 析 攻 击 , 抗 电磁 干扰 及 电源 保护 等 ) ,媒体 安全 (包括 媒体 数据 
的 安全 及 媒体 本 身 的 安全 )。 为 保证 网 络 系统 的 物理 安全 ,还 要 防止 系统 信息 在 空间 的 扩 
散 。 通 常 是 在 物理 上 采取 一 定 的 防护 措施 来 减少 或 干扰 扩散 出 去 的 空间 信号 ,如 在 产品 保 
障 方面 ,运行 安全 方面 、 防 电磁 辐射 泄露 方面 和 安保 方面 。 

对 网 络 硬 件 .操作 系统 、 网 络 数 据 和 软件 的 安全 保护 ,对 网 络 病毒 .黑客 攻击 的 防范 等 详 
见 第 2 章 , 第 3 章 和 第 6 章 。 
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1.4.4 访问 控制 


访问 控制 就 是 规定 哪些 用 户 可 访问 网 络 系 统 , 对 要 求 入 网 的 用 户 进行 身份 验证 和 确认 ， 
这 些 用 户 能 访问 系统 的 哪些 资源 ,他 们 对 于 这 些 资源 能 使 用 到 什么 程度 等 问题 。 访 问 控制 
的 基本 任务 就 是 保证 网 络 系统 中 所 有 的 访问 操作 都 是 经 过 认可 的 、 合 法 的 ,防止 非法 用 户 进 
和 网络 和 合法 用 户 对 网 络 系统 资源 的 非 授权 访问 。 

访问 控制 安全 措施 涉及 口令 安全 、 入 网 限制 .认证 和 授权 、 数 字 签 名 , 非 否 认 、 防 火 墙 \ 入 
侵 检测 、 网 络 扫 描 和 监听 等 技术 。 利 用 上 述 技术 或 措施 对 网 络 用 户 身份 进行 验证 和 确认 , 规 
定 不 同 软件 及 数据 资源 的 属性 和 访问 权限 ,进行 网 络 监视 .设置 网 络 审计 和 跟踪 、 使 用 防火 
墙 系统 ,和 人 侵 检测 和 防护 系统 等 方法 实现 访问 控制 安全 。 

涉及 网 络 访问 控制 安全 的 相关 内 容 详 见 第 3 一 6 童 。 


1.4.5 数据 保密 


数据 加 密 保护 就 是 采取 一 定 措施 ,对 网 络 系统 中 存储 的 数据 和 在 线路 上 传输 的 数据 进 
行 变换 (加 密 ) ,使 得 变换 后 的 数据 不 能 被 无 关 的 用 户 识别 ,保证 数据 的 保密 性 。 数 据 加 密 的 
目的 是 隐蔽 和 保护 具有 一 定 密级 的 信息 , 既 可 以 用 于 信息 存储 ,也 可 以 用 于 信息 传输 ,使 其 
不 被 非 授权 方 识别 。 数 据 加 密 是 提高 计算 机 网 络 中 信息 的 保密 性 、 完 整 性 ,防止 机 密 信息 被 
破译 所 采用 的 主要 技术 手段 ,也 是 最 可 靠 、 最 直接 的 方案 。 

数据 加 密 保护 通常 是 采用 密码 技术 对 信息 (数据 和 程序 ) 进 行 加 密 、 数 字 签名 、 用 户 验证 
和 非 否 认 鉴 别 等 措施 实现 的 。 数 据 加 密 算法 主要 有 对 称 密 钥 加 密 和 非 对 称 密 钥 加 密 两 种 。 

数据 加 密 技术 是 所 有 信息 安全 保密 技术 的 基础 。 与 数据 保密 技术 相关 的 内 容 详 见 第 4 
章 、 第 5 章 和 第 8 童 等 。 


1.4.6 网 络 安全 审计 


安全 审计 是 记录 用 户 使 用 计算 机 网 络 系统 进行 所 有 活动 的 过 程 , 它 不 仅 能 够 识别 谁 访 
问 了 系统 ,还 能 指出 系统 正 被 怎样 地 使 用 。 同 时 ,系统 事件 的 记录 能 够 更 迅速 和 系统 地 识别 
问题 ,并 且 是 后 面 阶段 事故 处 理 的 重要 依据 ,为 网 络 犯罪 行为 及 泄密 行为 提供 取证 基础 。 另 
外 ,通过 对 安全 事件 的 不 断 收 集 与 积累 并 且 加 以 分 析 , 有 选择 性 地 对 其 中 的 某 些 站 点 或 用 户 
进行 审计 跟踪 ,以 便 对 发 现 或 可 能 产生 的 破坏 性 行为 提供 有 力 的 证 据 。 

安全 审计 是 识别 与 防止 网 络 攻击 `. 追 查 网 络 泄密 行为 的 重要 措施 之 一 ,是 安全 网 络 必须 
支持 的 、 提 高 网 络 安全 性 的 重要 手段 。 安 全 审计 具体 包括 两 方面 的 内 容 : 一 是 采用 网 络 监 
控 与 人 侵 防范 系统 ,识别 网 络 各 种 违规 操作 与 攻击 行为 ,即时 响应 (如 报警 ) 并 进行 阻 断 ; 二 
是 对 信息 内 容 的 审计 ,可 以 防止 内 部 机 密 或 敏感 信息 的 非法 泄露 。 

网 络 安全 审计 措施 可 通过 多 层次 的 审计 手段 实现 。 具 体 而 言 ,网 络 的 安全 审计 系统 应 
由 网 络 层 安全 审计 、 系 统 安全 审计 和 信息 内 容 的 安全 审计 三 个 层次 组 成 。 网 络 层 安全 审计 
主要 利用 防火 墙 的 审计 功能 、 网 络 监控 与 人 侵 检测 系统 来 实现 。 系 统 安 全 审计 主要 是 利用 
各 种 操作 系统 和 应 用 软件 系统 的 审计 功能 实现 ,包括 用 户 访问 时 间 、 操 作 记录 、 系 统 运 行 信 
息 资源 占用 等 。 


(5 网 络 系统 的 日 常安 全 管理 


对 于 网 络 系统 的 安全 管理 和 维护 ,不 仅 需 要 有 配套 的 安全 防御 措施 ,还 需要 规范 的 管理 
制度 和 流程 ,更 需要 高 素质 的 安全 管理 和 操作 人 员 。 


1.5.1 网 络 系 统 的 日 常 管理 


一 般 网 络 管理 人 员 所 面 对 的 网 络 管理 环境 大 都 已 经 采取 了 某 些 安全 措施 ,构成 了 一 定 
的 防御 体系 。 同 时 ,从 管理 的 角度 讲 , 比 较 重视 网 络 安全 的 企业 或 事业 单位 ,都 设 有 专门 的 
安全 管理 机 构 ,制定 了 相应 的 安全 制度 和 规范 。 从 网 络 管理 人 员 的 素质 讲 ,一 般 都 具有 一 定 
的 安全 技能 ,如 分 析 日 志 、 了 解 攻击 特点 、 熟 悉 各 类 操作 系统 以 及 本 网 络 的 拓扑 、IP 分 配 情 
况 ,设备 配置 情况 、 系 统 配 置 情况 、 应 用 系统 情况 。 但 这 些 还 远 远 没有 达到 网 络 安全 日 常 维 
护 的 要 求 。 

网 络 系统 的 安全 维护 通常 有 以 下 几 个 方面 。 


1. 口令 (密码 ) 管 理 


口令 问题 容易 被 人 忽视 。 许 多 系统 建设 得 非常 完美 ,但 在 口令 管理 上 不 够 严格 ,甚至 漏 
洞 百出 。 试 想 ,即便 是 世界 上 最 坚固 的 保险 柜 ,如 果 其 密码 是 0000 ,那么 这 个 坚固 的 躯壳 就 
成 为 摆设 了 。 

一 般 网 络 工作 人 员 常 犯 的 口令 错误 有 : 多 个 账号 使 用 同一 个 密码 ; 密码 全 部 采用 数字 
组 合 或 字母 组 合 ; 密码 从 不 更 新 ; 密码 被 记录 于 易 见 的 媒体 上 ; 远程 登录 系统 时 ,账号 和 密 
码 在 网 络 中 以 明文 形式 传输 等 。 

作为 网 络 安全 管理 人 员 ,在 口令 管理 上 应 该 养 成 好 习惯 ,比如 : 选取 数字 、 字 母 、 符 号 相 
间 的 口令 ; 口令 不 随便 书写 在 易 见 的 媒体 上 ; 适时 更 新 口令 ; 及 时 删除 已 撤销 的 账号 和 口 
令 ; 远程 登录 时 使 用 加 密 口令 ; 更 严格 情况 可 采用 口令 鉴别 和 PKI 验证 过 程 。 


2. 病毒 防护 


建议 网 络 系统 的 所 有 计算 机 都 安装 统一 的 网 络 防 病毒 软件 ,这 样 容易 解决 病毒 库 的 及 
时 升级 问题 。 通 过 对 防 病毒 服务 器 进行 及 时 升级 ,可 以 做 到 众多 的 客户 端 病毒 库 及 时 升级 ， 
这 样 可 对 最 新 的 病毒 进行 及 时 防 杀 ,减少 病毒 危害 。 

对 于 作为 服务 器 的 主机 ,无 论 是 使 用 Windows 操作 系统 还 是 非 Windows 操作 系统 , 防 
病毒 软件 对 于 主机 系统 的 性 能 都 会 有 不 同 程度 的 影响 。 但 是 ,网 络 防 病毒 软件 还 是 要 尽 可 
能 地 覆盖 所 有 的 主机 ,并 及 时 进行 病毒 库 升 级 。 在 日 常 维护 中 ,最 好 是 每 隔 两 三 天 就 检查 一 
次 是 否 需要 升级 病毒 库 , 在 必要 时 及 时 进行 升级 。 

谈 到 病毒 防护 ,不 要 以 为 防 病毒 软件 对 任何 病毒 都 有 作用 。 防 病毒 软件 并 不 能 防 杀 掉 
所 有 类 型 的 病毒 ,比如 蠕虫 病毒 。 造 成 这 种 情况 的 原因 很 多 ,如 用 户 没有 及 时 升级 病毒 ,或 
者 该 病毒 的 特征 定义 不 准确 等 。 蠕 虫 病毒 带 有 黑客 攻击 性 质 ,对 于 黑客 攻击 特征 的 研究 ,可 
以 借助 于 入 侵 检测 系统 等 监控 设备 ,进行 及 时 监控 ,找到 有 问题 的 机 器 ,及 时 修补 漏洞 。 
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3. 漏洞 扫描 


网 络 管理 员 应 密切 跟踪 最 新 的 漏洞 和 攻击 技术 ,及 时 对 网 络 设备 进行 加 固 。 如 果 及 时 
对 IIS 打 补 丁 , 就 不 会 发 生 红色 代码 蠕虫 问题 ; 如 果 及 时 对 SQL Server 打 补 丁 ,就 不 会 发 生 
SQL 蠕虫 问题 ; 如 果 及 时 加 强 口令 的 控制 ,关闭 不 必要 的 服务 ,就 不 会 发 生 被 他 人 远程 控制 
问题 ; 如 果 在 出 口 进行 源 路 由 控制 ,就 不 会 有 DDoS( 分 布 式 拒 绝 服务 ) 攻 击 从 本 网 发 动 等 
问题 。 

通过 漏洞 扫描 系统 对 网 络 设备 进行 扫描 ,可 以 从 设备 之 外 的 网 络 角度 来 审视 网 络 上 还 
有 哪些 漏洞 没有 修补 ,正在 提供 什么 样 的 服务 ,以 此 找到 需要 关闭 的 服务 ,甚至 也 可 以 发 现 
部 分 密码 设置 过 于 简单 的 账号 。 

建立 一 个 列表 , 列 出 网 络 中 所 有 主机 应 该 提供 的 服务 和 端口 ,使 用 扫描 系统 ,检查 每 台 
主机 ,看 是 否 有 不 必要 的 服务 没有 关闭 ,或 有 漏洞 的 地 方 , 及 时 做 出 调整 及 修补 。 如 果 有 计 
算 机 被 人 利用 ,应 启动 应 急 响应 流程 ,分 析 原 因 ,找到 攻击 者 使 用 的 方法 ; 必要 时 ,需要 对 全 
网 安全 策略 进行 调整 。 在 日 常 维护 中 ,每 十 天 左右 可 对 重要 的 主机 进行 一 次 扫描 。 由 于 扫 
描 要 占用 带宽 ,可 根据 带宽 情况 和 设备 数量 ,合理 调整 扫描 周期 和 时 间 。 


4. 边界 控制 


边界 可 理解 为 所 管辖 的 内 部 网 与 外 部 网 的 连接 ,如 连接 Internet 的 边界 ,连接 第 三 方 网 
络 的 边界 ; 也 可 以 理解 为 在 一 个 广域网 中 ,各 局 域 网 之 间 的 连接 边界 。 

网 络 之 间 的 连接 设备 一 般 都 是 路 由 器 ,为 了 加 强 安全 控制 ,通常 在 路 由 器 上 配备 防火 软 
件 , 使 之 构成 网 络 层 防火 墙 。 当 然 , 网 络 之 间 可 能 还 有 其 他 类 型 的 隔离 设备 ,如 网 闸 等 。 在 
加 强 对 路 由 器 、 防 火 墙 本 身 的 安全 控制 之 外 ,也 要 利用 这 些 设备 对 边界 访问 进行 控制 ,特别 
是 连接 Internet 的 边界 。 事 实 上 ,网 络 管理 员 没有 足够 的 能 力 去 管理 Internet 上 的 行为 ,但 
有 足够 的 权限 控制 所 辖 内 部 网 络 。 边 界 访问 控制 得 比较 好 ,就 能 有 效 地 减少 来 自 Internet 
的 攻击 风险 。 比 如 ,在 路 由 器 上 采用 访问 列表 来 控制 内 外 的 访问 ,采用 源 路 由 器 控制 方法 ， 
过 滤 非 本 地 的 IP 报 文 发 送 到 Internet 上 ,可 避免 黑客 的 IP 欺骗 ,也 可 控制 发 自 本 网 络 内 部 
的 伪造 源 地 址 的 蠕虫 病毒 和 DDoS 攻击 。 

加 强 局 域 网 之 间 的 边界 控制 ,可 以 减少 攻击 威胁 的 范围 。 比 如 ,SQL 蠕虫 病毒 在 某 局 
域 网 内 爆发 ,由 于 边界 控制 设备 关闭 了 SQL Server 连接 的 端口 ,因此 ,至 少 可 以 避免 该 病毒 
从 本 局 域 网 传染 到 其 他 局 域 网 。 


5. 实时 监控 


以 上 措施 都 能 提高 网 络 的 组 成 元 素 的 安全 强度 ,但 这 还 不 够 。 因 为 网 络 访问 是 动态 的 ， 
网 络 管理 员 要 时 时 刻 刻 监视 网 络 的 访问 情况 ,特别 是 密切 注意 潜在 的 攻击 行为 ,采取 必要 手 
段 进行 及 时 控制 ; 对 已 攻击 成 功 的 事件 ,应 启动 应 急 响 应 流程 ,分 析 黑客 是 利用 了 网 络 中 的 
哪些 薄弱 环节 ,使 用 什么 攻击 方式 进行 的 ,考虑 应 如 何 调整 和 加 强 安全 措施 等 。 

利用 入 侵 检测 系统 (IDS) 建 立 全 网 的 监控 系统 , 即 可 以 实施 对 网 络 的 实时 全 面 监控 ,也 
可 以 对 某 个 或 某 些 安 全 事件 进行 特别 监控 。 管 理 员 要 充分 利用 事件 的 自 定义 功能 ,将 自己 
认为 有 必要 监控 的 网 络 访问 进行 自 定义 。 在 日 常 网 络 的 安全 维护 中 ,应 根据 实际 情况 ,实行 


每 周 7 天 的 全 天 候 (7 天 X24 小时/ 天) 监控 或 5 天 X8 小 时 /天 监控 。 
6. 日 志 审核 


这 里 所 说 的 日 志 是 指 操作 系统 日 志 、 应 用 程序 日 志和 防火 墙 日 志 。 如 果 网 络 范围 比较 
大 ,设备 比较 多 ,日 志 量 就 比较 大 。 如 果 没 有 专门 的 日 志 分 析 工 具 , 网 络 管理 员 应 只 对 特别 
重要 的 服务 器 日 志 进 行 常 规 的 日 志 分 析 。 通 过 这 些 分 析 , 可 以 发 现 服务 器 上 是 否 有 异常 活 
动 。 日 志 分 析 审 核 是 对 网 络 安全 监控 系统 的 一 个 补充 ,在 日 常 维护 中 ,建议 每 月 进行 一 次 。 


7. 应 急 响 应 


采取 再 多 的 安全 措施 ,也 不 会 造就 绝对 安全 的 网 络 系统 。 在 网 络 安全 方面 ,“ 攻 ”和 “ 防 ” 
是 一 对 既 互相 对 立 又 互相 促进 的 矛盾 体 , 它 们 总 是 在 实践 过 程 的 不 断 较量 中 相互 制约 和 不 
断 发 展 的 ,往往 是 先 有 新 的 “攻击 "手段 和 方法 出 现 ,随后 再 有 相应 的 “防御 ”措施 出 台 , 正 所 
谓 “ 道 高 一 尺 , 魔 高 一 丈 ”"。 因 此 ,在 攻击 者 侵入 网 络 后 ,需要 有 及 时 的 应 急 响 应 措施 ,对 安全 
事件 进行 分 析 和 追踪 ,实施 修补 。 

希望 每 个 较 大 的 网 络 系统 安全 管理 员 都 建立 自己 的 紧急 响应 流程 ,使 所 有 安全 管理 人 
员 都 知道 ,在 出 现 紧急 安全 事件 时 应 如 何 处 理 。 如 果 和 暂 不 具备 对 安全 事件 分 析 的 实力 ,可 由 
有 能 力 提供 紧急 响应 安全 服务 的 服务 提供 商 进行 支持 。 此 外 ,应 及 时 对 每 次 应 急 响 应 进行 
总 结 , 修 正 应 急 响 应 流程 。 


8. 软件 和 数据 文件 的 保护 


软件 和 数据 文件 包括 系统 软件 、 应 用 软件 及 应 用 系统 的 数据 库 各 项 文件 等 。 操 作 系 统 
软件 的 安全 性 体现 在 对 程序 保护 的 支持 和 对 内 存 保护 的 支持 上 。 在 现代 信息 系统 中 ,硬件 
对 操作 系统 的 支持 比较 完善 ,如 使 用 硬件 技术 中 的 特权 指令 、 重 定位 和 界限 寄存 器 、 分 页 ,分 
段 等 功能 实现 对 资源 的 合理 分 配 ,将 用 户 的 程序 和 数据 管理 起 来 ,避免 相互 间 的 干扰 和 分 时 
冲突 。 

在 虚拟 存储 技术 中 采用 段 页 表 进 行 地 址 映射 ,在 这 些 表 中 规定 了 对 内 存 信息 的 访问 权 
限 。 操 作 系统 正 是 由 内 存 管理 程序 对 内 存 资源 进行 控制 和 保护 的 。 因 为 操作 系统 管理 了 系 
统 的 全 部 资源 ,因此 它 必 须 避 免 一 般 用 户 的 进入 。 因 该 特定 入 口 是 由 管理 程序 控制 的 ,所 以 
当 一 般 用 户 试图 通过 特定 入 口 (陷阱 ) 向 操作 系统 请 求 服务 时 ,就 无 法 进入 该 管理 程序 。 对 
于 多 进程 的 系统 ,可 以 采取 优先 级 控制 的 方法 防止 进程 之 间 的 干扰 和 对 系统 区 的 非法 访问 。 

目前 ,各 种 应 用 软件 .软件 工具 和 数据 文件 的 数量 正 以 惊人 的 速度 增长 ,以 满足 日 益 增 
长 的 计算 机 应 用 的 需要 ,但 非法 复制 、 非 授权 侵入 和 修改 是 对 软件 (数据 文件 ) 的 主要 危害 。 
从 销售 商 的 角度 看 ,需要 一 些 保护 措施 防止 销售 的 软件 被 非法 复制 。 非 法 复制 除 给 软件 销 
售 商 带 来 经 济 损失 外 ,更 重要 的 是 ,一 旦 对 国家 经 济 、 工 商 、 金 融 、 外 贸 以 及 军政 部 门 的 机 密 
软件 和 系统 软件 (文件 ) 进 行 非法 复制 ,将 造成 不 可 估量 的 损失 ,甚至 威胁 到 国家 安全 。 

通常 采用 市 场 策 略 、 技 术 策 略 和 法 律 策略 三 种 保护 策略 对 付 软 件 的 非法 复制 。 

(1) 市 场 策略 

比较 典型 的 市 场 策略 是 对 软件 商品 标 以 诱 人 的 低廉 价格 ,使 每 个 潜在 用 户 都 愿意 购买 
它 , 因 为 购买 后 还 可 以 得 到 所 需 文件 和 后 续 的 技术 支持 。 
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(2) 技术 策略 

技术 策略 涉及 较 多 具体 的 软件 保护 技术 ,如 抗 软件 分 析 法 、 唯 一 签名 法 、 软 件 加 密 法 和 
数据 加 密 法 等 。 抗 软件 分 析 法 可 使 攻击 者 不 能 动态 跟踪 与 分 析 软 件 程序 。 唯 一 签名 法 可 保 
证 软件 不 被 非法 复制 。 但 随 着 科学 技术 的 不 断 发 展 , 各 种 各 样 的 复制 软件 工具 不 断 出 现 , 攻 
击 者 可 以 通过 复制 软件 的 源 代 码 进 行 静态 分 析 。 为 防止 这 种 静态 分 析 , 可 对 整个 程序 或 程 
序 的 关键 部 分 进行 加 密 。 软 件 加 密 是 将 介质 上 存储 的 程序 代码 变换 成 一 种 密 文 形 式 , 使 得 
攻击 者 即使 是 复制 了 该 软件 也 无 法 读 懂 它 , 因 而 也 就 无 法 分 析 和 使 用 它 。 

(3) 法 律 策略 

利用 软件 保护 法 等 相应 的 法 律 法 规 的 约束 和 威慑 力 ,使 一 些 人 对 非法 侵权 有 所 顾忌 ,不 
得 不 去 购买 正版 软件 。 虽 然 法 律 本 身 的 作用 是 有 限 的 ,但 把 几 种 策略 结合 起 来 使 用 还 是 有 
效 的 。 


1.5.2 网 络 日 志 管 理 


网 络 日 志 不 仅 能 用 来 进行 安全 检查 ,而 且 还 能 够 帮助 用 户 更 好 地 从 事 网 络 管理 工作 。 
网 络 管理 员 的 一 个 十 分 重要 的 工作 就 是 做 好 网 络 日 志 , 有 效 地 利用 网 络 日 志 进 行 网 络 安全 
管理 是 一 项 十 分 重要 的 工作 。 

在 网 络 系统 里 ,日 志 管理 是 一 个 非常 重要 的 功能 组 成 部 分 。 它 可 以 记录 下 系统 所 产生 
的 所 有 行为 ,并 按照 某 种 规范 表达 出 来 。 管 理 员 可 以 使 用 日 志 系 统 所 记录 的 信息 为 系统 进 
行 排 错 , 优 化 系统 的 性 能 ,或 者 根据 这 些 信 息 调整 系统 的 行为 。 在 安全 领域 ,日 志 管理 的 重 
要 性 更 为 突出 , 它 是 安全 审计 方面 最 主要 的 工具 之 一 。 

按照 系统 类 型 可 将 日 志 分 为 操作 系统 日 志 、 应 用 系统 日 志 、 安 全 系统 日 志 等 。 每 种 操作 
系统 的 日 志 都 有 其 自身 特有 的 设计 和 规范 ,例如 , Windows 系统 的 日 志 通 常 按 照 其 惯 有 的 
应 用 程序 \ 安 全 和 系统 这 样 的 分 类 方式 进行 存储 ,而 类 似 Linux 这 样 的 各 种 Class UNIX 系 


统 通常 都 使 用 兼容 Syslog 规范 的 日 志 系统 。 应 用 系统 日 志 主 要 包括 各 种 应 用 程序 服务 器 
(例如 Web 服务 器 .FTP 服务 器 ) 的 日 志 系统 和 应 用 程序 自身 的 日 志 系统 ,不 同 的 应 用 系统 


都 具有 根据 其 自身 要 求 设计 的 日 志 系统 。 安 全 系统 日 志 从 狭义 上 讲 指 信息 安全 方面 设备 或 
软件 ,如 防火 墙 系统 的 日 志 , 从 更 广泛 的 意义 上 来 说 ,所 有 为 了 安全 目的 所 产生 的 日 志 都 可 
归 和 此 类 。 

下 面 就 如 何 利用 网 络 日 志 进 行 网 络 管理 工作 做 一 些 简要 介绍 ,并 通过 一 些 日 常 的 范例 
来 说 明 。 


. 网 络 日 志 是 日 常 管理 的 FAQ 


在 日 常 的 网 络 管理 工作 中 ,要 形成 一 种 习惯 ,就 是 将 当天 遇 到 的 问题 与 解决 方法 填写 在 
网 络 日 志 中 ,然后 定期 地 将 这 些 内 容 进行 整理 归 类 到 一 个 名 为 网 络 管理 的 FAQ( 日 常 问答 ) 
中 。FAQ 以 一 问 一 答 的 方式 收集 内 容 , 以 Web 形式 共享 。 这 样 , 当 网 络 管理 员 此 后 再 遇 到 
问题 时 ,可 以 先 在 这 里 寻找 答案 ,这 样 可 大 大 提高 解决 问题 ,排除 故障 的 效率 。 


2. 网 络 日 志 是 排除 故障 的 黑匣子 
网 络 日 志 对 于 故障 排除 也 能 起 到 飞机 黑匣子 的 功能 。 下 面 通过 几 个 案例 来 说 明 网 络 日 
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志 对 排除 网 络 故 障 的 帮助 。 

例 1-1 某 企 业内 部 有 一 台 应 用 服务 器 ,操作 系统 是 Windows NT 4. 0, 在 上 面 运行 着 
一 个 通信 网 关 程序 。 有 一 天 网 络 管理 人 员 一 上 班 就 发 现 这 个 通信 网 关 程 序 时 工 了 。 结 果 一 
检查 ,该 程序 已 异常 退出 ,而且 再 也 启动 不 了 。 这 时 ,网 络 管理 人 员 迅 速 查找 网 络 日 志 , 发 现 
在 前 一 天 下 班 时 , 另 一 名 网 络 管理 人 员 为 了 提高 安全 性 ,在 该 服务 器 上 打 了 SP6 补丁 ,然后 
关机 下 班 。 网 络 管理 人 员 马 上 与 该 程序 的 开发 商 取得 联系 ,确认 了 该 程序 与 SP6 不 兼容 ， 
并 得 到 了 修改 该 故障 的 新 版 程序 ,顺利 地 解决 了 问题 。 在 本 例 中 ,通过 查看 网 络 日 志 , 寻 找 
到 了 变动 因素 ,从 而 找到 了 引起 该 故障 的 原因 。 

例 1-2 有 一 段 时 间 , 某 企业 内 部 网 络 出 现 了 一 个 奇怪 的 现象 ,每 天 中 午 大 家 都 无 法 正 
常 收发 E-mail, 接 收 邮 件 经 常 超时 ,数据 传输 很 慢 。 开 始 大 家 认为 可 能 是 由 于 中 午 上 网 人 多 
而 引起 的 。 为 了 能 够 找 出 原因 ,网 络 管理 员 连 续 几 个 中 午 进 行 网 络 流量 监测 ,并 将 结果 记录 
下 来 。 然 后 翻 开 网 络 日 志 ,查看 在 发 生 该 情况 之 前 的 网 络 流量 数据 ,结果 发 现 这 几 天 中 午 的 
网 络 流量 居然 是 平时 最 大 值 的 10 多 倍 。 他 们 觉得 这 样 的 情况 肯定 不 是 上 网 人 数 简单 增加 
引起 的 ,就 继续 进行 网 络 监控 ,试图 寻找 出 原因 。 结 果 用 Sniffer 监听 到 了 一 台 PC 在 源源 
不 断 地 向 外 广播 大 量 的 数据 包 , 找 到 这 人 台 PC 的 用 户 后 才 知 道 ,该 用 户 在 用 “超级 解 霸 "看 
VCD, 当 打开 他 的 “超级 解 霸 ” 时 发 现 他 误 设 置 了 打开 DVB 数字 视频 广播 ,结果 在 他 看 VCD 
的 同时 向 整个 局 域 网 用 户 进行 了 视频 广播 ,因此 导致 了 网 络 阻塞 。 试 想 如 果 没 有 网 络 日 志 
数据 ,就 可 能 无 法 得 知 网 络 数据 的 增长 到 底 有 多 大 ,是 不 是 与 上 网 人 数 增加 有 关系 ,就 可 能 
会 盲目 地 采用 增加 带宽 方式 来 解决 该 问题 了 。 


3. 网 络 日 志 是 网 络 升级 的 指示 仪 


网 络 日 志 记 录 了 网 络 日 常 运行 的 状态 信息 ,这 些 信息 显示 了 网 络 的 动态 情况 ,有 了 这 些 
情况 ,就 可 以 正确 地 做 出 网 络 升级 的 决策 ,使 得 网 络 升 级 能 够 落 到 实处 。 同 时 ,网 络 日 志 还 
为 网 络 升级 提供 了 详细 的 数据 依据 。 

例如 ,每 年 底 企业 领导 都 要 求 网 络 管理 部 门 提 交 一 个 关于 新 一 年 中 网 络 升级 的 需求 报 
告 ,这 时 网 络 管理 员 就 可 打开 网 络 日 志 , 对 网 络 日 志 中 网 络 流量 数据 进行 分 类 统计 ,获取 网 
络 流量 的 增长 率 、 网 络 流 量 的 高 峰 时 期 等 信息 ; 对 网 络 中 病毒 记录 进行 统计 ,可 以 得 知 现行 
的 病毒 防治 策略 是 否 有 效 ; 还 可 以 从 网 络 日 志 中 发 现 每 一 个 网 络 服务 器 的 负载 变化 情况 ， 
再 根据 这 一 情况 制定 网 络 服 务 器 软 硬 件 的 更 新 。 基 于 网 络 日 志 提 供 的 上 述 各 种 数据 信息 ， 
网 络 管理 部 门 即 可 制定 出 一 个 较 完美 的 升级 计划 向 领导 汇报 了 。 

总 之 ,如 果 行 之 有 效 地 利用 网 络 日 志 中 的 数据 记录 ,将 能 够 帮助 网 络 管理 员 更 好 地 完成 
网 络 管理 工作 。 


4. 网 络 日 志 便 于 系统 运行 维护 管理 


以 保障 系统 稳定 运行 为 目的 ,通过 采集 各 种 网 络 设备 、 操 作 系 统 及 系统 软件 平台 的 运行 
日 志 及 各 种 消息 、 主 动 探测 运行 状态 等 手段 ,全 面 地 监测 、 记 录 各 种 平台 的 动态 信息 及 配置 
变更 ,实时 地 提供 报警 信息 并 输出 各 种 综合 日 志 分 析 报 告 , 为 系统 管理 人 员 提 供 了 一 个 监测 
面 广 ,响应 及 时 、 具 有 强大 分 析 能 力 的 信息 系统 基础 设施 一 一 日 志 监 测 管理 平台 ,这 样 可 大 
大 降低 系统 运行 维护 人 员 的 工作 量 和 定位 故障 的 时 间 ,快速 完成 系统 运行 维护 任务 。 
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5. 网 络 设备 的 日 志 管理 


查看 交换 机 、 路 由 器 和 其 他 网 络 设备 的 日 志 , 可 以 帮助 网 络 管理 员 迅 速 了 解 和 诊断 间 
题 。 一 些 网 络 管理 员 认 为 日 志 管 理 是 信息 安全 管理 的 内 容 , 与 系统 管理 关系 不 大 ,这 绝对 是 
错误 的 。 很 多 硬件 设备 的 操作 系统 也 具有 独立 的 日 志 功能 ,以 Cisco 路 由 器 为 代表 的 网 络 
设备 通常 都 具有 输出 Syslog 兼容 日 志 的 能 力 。 下 面 以 常见 的 Cisco 设备 为 例 介 绍 在 网 络 设 
备 日 志 管 理 中 最 基本 的 日 志 记录 方法 与 功能 。 

在 Cisco 设备 管理 中 ,日 志 消 息 通常 是 指 Cisco IOS 中 的 系统 错误 消息 ,其 中 每 条 错误 
信息 都 被 定 一 个 级 别 ,并 伴随 一 些 指示 性 问题 或 事件 的 描述 信息 。Cisco IOS 发 送 日 志 消 息 
(包括 debug 命令 的 输出 ) 到 日 志 记 录 。 默 认 情 况 下 ,只 发 送 到 控制 台 接 口 ,但 也 可 以 将 日 志 
记录 到 路 由 器 内 部 缓存 。 在 实际 管理 工作 中 ,一 般 将 日 志 发 送 到 终端 线路 ,如 辅助 和 虚拟 终 
端 连接 (virtual type terminal,VTY) 线 路 、 系 统 日 志 服 务 器 和 SNMP 管理 数据 库 等 。 

(1) 基本 日 志 记 录 的 配置 

在 设置 日 志 记 录 时 ,需要 完成 两 个 基本 的 任务 : 打开 日 志 记 录 和 控制 日 志 在 线路 上 的 
显示 。 

@ 日 志 记录 

一 般 地 ,日 志 记录 只 在 路 由 器 的 终端 控制 台 打 开 , 要 在 其 他 地 方 记录 日 志 , 则 必须 相应 
地 打开 有 日志 记录 并 进行 配置 。 使 用 logging on 命令 可 打开 日 志 记 录 , 其 他 的 如 logging 命 
令 , 可 以 为 日 志 记录 打开 其 他 已 配置 的 目的 地 ,如 系统 日 志 服 务 器 或 路 由 器 的 内 部 缓存 。 在 
将 系统 消息 记录 到 除了 控制 台 端口 的 其 他 位 置 之 前 ,必须 执行 该 命令 。 

@ 配置 同步 日 志 记录 

在 路 由 器 线路 上 显示 日 志 时 ,可 能 当 用 户 正 在 输入 命令 时 ,有 路 由 器 消息 显示 在 正在 输 
入 的 命令 行 中 间 。 虽 然 这 个 消息 和 正在 输入 的 命令 无 关 , 可 以 继续 输入 来 完成 命令 ,但 是 这 
种 情况 是 很 烦人 的 。 

logging synchronous 命令 的 主要 目的 是 将 日 志 消 息 输出 和 调试 输出 同步 到 控制 台 、 辅 
助 和 VTY 线路 。 当 启用 这 个 特性 时 ,同步 日 志 使 得 Cisco IOS 显示 消息 ,然后 执行 一 个 等 
价 的 Ctrl-R 的 命令 ,这 使 得 路 由 器 将 已 经 输入 的 信息 重新 显示 在 命令 行 上 。 

在 config-line 模式 下 可 以 使 用 logging synchronous 命令 来 影响 日 志 消息 的 显示 ,如 : 


Router(config— line)# logging synchronous [level severity level | all [ limit # _of line ] ] 


severity_level 是 指 日 志 消息 的 严重 程度 ,这 些 消息 是 异步 显示 的 。 严重 性 数值 比 该 值 
高 (更 低 严 重 性 ) 的 消息 被 同步 显示 ; 数值 低 (更 高 严重 性 ) 的 消息 被 异步 显示 ,默认 的 严重 
级 别 是 2。 参 数 all 使 得 所 有 消息 都 被 异步 显示 ,不 管 分 配 的 严重 级 别 。 参 数 limit 指定 在 
路 由 器 开始 丢弃 新 的 消息 前 ,有 多 少 个 同步 消息 可 以 在 队列 中 排队 ,默认 值 是 20。 如 果 到 
达 该 阅 值 ,路 由 器 必须 丢弃 新 的 消息 时 ,就 会 看 到 _of_messages due to overflow 日 志 消 息 。 

(2) 日 志 级 别 

在 讨论 将 记录 日 志 到 其 他 目的 地 之 前 ,管理 员 应 当 熟 悉 日 志 消 息 和 严重 级 别 。 每 个 日 
志 消 息 被 关联 一 个 严重 级 别 , 用 来 分 类 消息 的 严重 等 级 : 数字 越 低 ,消息 越 严 重 。 严 重 级 别 
的 范围 从 0( 最 高 ) 到 7( 最 低 ) 。 


(3) 将 日 志 记录 到 其 他 位 置 

中 到 逻辑 VTY 

有 logging console 和 logging monitor 两 个 命令 可 用 于 控制 日 志 消 息 发 送 到 路 由 器 的 
线路 上 。logging console 命令 是 指 将 日 志 记 录 到 物理 的 VTY, 如 控制 台 和 辅助 线路 。 
logging monitor 命令 是 指 将 日 志 记录 到 逻辑 的 VTY ,如 Telnet 会话。 一般 地 ,记录 日 志 在 
控制 台 对 所 有 级 别 都 打开 ,但 是 也 可 以 通过 改变 logging console 命令 中 的 严重 级 别 来 修 
改 。 默 认 情 况 下 ,网络 设备 不 会 将 逻辑 VTY 打开 ,需要 执行 logging monitor 或 者 terminal 
monitor, 可 将 控制 台 日 志 消 息 复制 到 VTY。 

由 于 设备 需要 将 消息 显示 在 终端 线路 上 ,这 样 会 给 网 络 设备 增加 额外 负担 ,所 以 应 将 严 
重 级 别 改 到 比 调试 更 高 的 严重 级 别 ( 较 低 的 数字 )。 

@ 内 部 缓存 记录 

当日 志 消 息 记 录 到 逮 辑 VTY 后 ,依然 无 法 保证 调试 过 程 被 完整 记录 下 来 。 比 如 当 用 
户 没 在 意 连接 线路 的 屏幕 输出 ,或 消息 滚 过 屏幕 并 超出 了 终端 软件 的 历史 缓存 时 , 则 没有 任 
何 机 制 可 以 再 看 到 那些 丢失 的 消息 。 一 个 解决 方法 是 将 日 志 消 息 记 录 到 路 由 器 的 内 部 组 
存 , 根 据 路 由 器 平台 的 不 同 ,该 项 可 能 是 默认 打开 或 者 关闭 的 ; 在 大 多 数 平台 下 ,默认 是 打 
开 的 。 使 用 以 下 命令 将 日 志 记录 到 路 由 器 的 缓存 : 


logging buffered [ buffer size | severity level ] 


该 命令 有 两 个 参数 ,buffer_size 参数 指定 应 该 为 内 部 缓存 分 配 多 大 的 内 存 , 以 字 节 为 单 
位 ,从 4096 到 294967 295 字 节 。 使 用 default logging buffered 命令 可 将 缓存 大 小 设 成 出 厂 
的 默认 值 。 

值得 注意 的 是 ,将 缓存 的 大 小 设置 得 太 大 时 ,如 果 有 很 多 消息 ,这 会 使 得 路 由 器 耗 尽 内 
存 , 可 能 使 其 崩溃 。 

@ 到 日 志 服务 器 

将 日 志 记录 到 日 志 服 务 器 比 将 日 志 记 录 到 命令 行 或 者 内 部 缓存 要 稍微 复杂 一 些 , 但 这 
也 是 Cisco 和 其 他 厂商 推荐 的 做 法 。 将 日 志 记录 到 服务 器 的 相关 命令 如 下 : 

logging [host - name | ip— address] 

logging trap level 

logging facility facility- type 

logging source - interface interface- type interface - number 

logging on 

@ 到 SNMP 数据 库 

可 以 将 日 志 信息 发 送 到 的 最 后 一 个 地 方 是 SNMP 管理 平台 ,很 多 网 管 软件 都 有 相关 的 
说 明 。 

6. Windows 日 志文 件 的 保护 


日 志文 件 对 网 络 的 安全 和 管理 非常 重要 ,因此 要 加 强 对 其 保护 ,防止 日 志文 件 被 删除 或 
非法 操作 。 
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(1) 修改 日 志文 件 存放 目录 

Windows 日 志文 件 默 认 路 径 是 %systemroot%\system32\config, 可 以 通过 修改 注册 表 
来 改变 它 的 存储 目录 ,增强 对 日 志 的 保护 。 

在 菜单 中 选择 “开始 ”>“ 运 行 ”, 在 对 话 框 中 输入 “Regedit”, 按 回 车 键 后 弹出 注册 表 编 
辑 器 ,依次 展开 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\ 
Eventlog” 后 ,下面 的 Application、Security、System 几 个 子 项 分 别 对 应 应 用 程序 日 志 、 安 全 
日 志和 系统 日 志 。 

以 应 用 程序 日 志 为 例 , 将 其 转移 到 *E: ABC” 目 录 下 。 首 先 选 中 Application 子 项 ,在 右 栏 
中 找到 File 刍 , 其 键 值 为 应 用 程序 日 志文 件 的 路 径 *%SystemRoot%system32configAppEvent 
. Evt”, 将 其 修改 为 “E: ABC\AppEvent. Evt”, 如 图 1. 1 所 示 。 接 着 在 下 盘 新 建 <ABC” 目 
录 , 将 “AppEvent. Evt" 复 制 到 该 目录 下 ,重新 启动 系统 ,这 样 就 完成 了 应 用 程序 日 志文 件 存 
放 目 录 的 修改 ,其 他 类 型 日 志文 件 路 径 修改 方法 相同 ,只 是 在 不 同 的 子 项 下 操作 。 


日 国 Eventlog 本 || 名 称 类 型 数据 
困 所 hpplication | 革 以 ) REG_SZ mmmsrve 
由 国 Security 加 jnisplayNanepPile。 REG_EXPAN. WESystenRoot%\systen32Vels dl 
自作 Srate [DisployNmeID REG DORD COx00000100 (256) 
Syn 9 XSystenRootN\systen32\confi e\AppEvent, Evt 
国 erw [Msize ) 
由 国 Pastfat 


车 宁 符 中 


由 国 PastUserSwitehi 上 
自 retesriteind gorsetooes 


国 Fde 
由 国 Tips 国 heeenticn | 数值 名 称 中 : 
国 mpydisk File 
由 国 i 
由 国 Ps_Ree 小 信和 
mI psVes 加 EAsc WppEvent Evi] 
< | 和 


我 的 电脑 \HKEY_LDCAL_MACHINE\SYSTEN\CurrentControlS 


图 1.1 修改 日 志文 件 存放 目录 


(2) 设置 文件 访问 权限 

修改 了 日 志文 件 的 存放 目录 后 ,日 志 还 是 可 以 被 删除 的 。 可 通过 修改 日 志文 件 访问 权 
限 ,防止 这 种 事情 发 生 ,前 提 是 Windows 系统 要 采用 NTFS 文件 系统 格式 。 

在 DD 盘 的 CCE 目录 (共享 目录 ) 右 击 鼠 标 ,选择 “属性 ”, 切 换 到 “安全 ”标签 页 后 ,首先 
取消 “允许 将 来 自 父 系 的 可 继承 权限 传播 给 该 对 象 ” 选 项 的 勾 选 ,接着 在 账号 列表 框 中 选中 
“Everyone" 账 号 ,只 给 它 赋予 “ 读 取 ” 权 限 ; 然后 单 击 “ 添 加 ”按钮 ,将 “System” 账 号 添加 到 账 
号 列表 框 中 ,赋予 除 “ 完 全 控制 "和 “修改 ”以 外 的 所 有 权限 ,最 后 单 击 “ 确 定 ” 按 钮 ,这 样 当 用 
户 清除 Windows 日 志 时 就 会 弹出 错误 对 话 框 。 


7. 日 志 分 析 工 具 


当 网 络 日 志 ( 如 IIS 或 Apache) 的 数量 非常 大 的 时 候 , 人 工分 析 的 效率 是 极 低 的 。 这 时 
需要 工具 来 帮忙 ,Awstats、Faststs Analyzer、Logs2Intrusions v. 1. 0 等 都 是 很 不 错 的 网 络 
日 志 分 析 工 具 。 


(8 网 络 数据 安全 


网 络 中 的 数据 一 般 可 分 为 三 部 分 : 网 络 数据 库 中 存储 的 数据 、 正 在 传输 的 数据 和 在 存 
储 介质 中 存放 的 数据 。 大 部 分 数据 是 存放 在 网 络 数据 库 中 的 ,一 小 部 分 数据 是 在 网 络 中 处 
于 正在 传输 过 程 中 ,在 存储 介质 中 存放 的 是 小 部 分 临时 性 的 数据 。 

对 这 三 部 分 数据 ,可 采取 不 同 的 措施 和 方法 保证 其 安全 。 对 于 存储 在 数据 库 中 的 数据 
可 采用 数据 的 备份 和 恢复 等 方法 保证 其 安全 ; 对 于 正在 传输 过 程 中 的 数据 ,可 采取 通信 加 
密 技术 和 鉴别 技术 保证 其 安全 ; 对 于 在 存储 介质 中 和 暂时 存放 的 数据 可 采取 硬件 介质 保护 、 
文件 加 密 和 软件 措施 等 保证 其 安全 。 


1.6.1 存储 介质 的 数据 安全 


目前 在 网 络 系统 中 使 用 的 存储 介质 除 传 统 的 磁带 、 硬 盘 外 ,使 用 较 多 、 较 频繁 的 是 移动 
存储 介质 。 这 些 移动 存储 介质 包括 U 盘 、 软 盘 、 光 盘 、 移 动 硬盘 .外 挂 IDE 及 各 类 移动 存储 
卡 等 。 这 些 存储 介质 具有 设备 小 型 化 .形式 多 样 化 和 存储 量 大 的 特点 。 移 动 存储 介质 的 出 
现 和 普及 应 用 ,虽然 为 用 户 在 数据 交换 和 存储 过 程 中 提供 了 极 大 的 方便 ,但 也 给 这 些 存 储 介 
质 管 理 和 文件 信息 管理 带 来 一 定 的 困难 。 因 为 任何 个 人 的 U 盘 、 移 动 硬盘 、 软 盘 或 光盘 都 
可 在 一 般 的 计算 机 上 随意 使 用 ,这 就 使 得 病毒 防范 难度 加 大 ,容易 形成 病毒 传播 源 , 造 成 计 
算 机 病毒 感染 和 泛滥 ; 信息 易 丢 失 ; 介质 交叉 共用 ,存在 泄密 隐患 ; 缺少 有 效 的 移动 设备 管 
理 监督 机 制 ; 单位 内 部 人 员 可 以 随意 将 内 部 的 重要 信息 复制 出 去 ,造成 敏感 信息 泄密 ; 移 
动 存储 介质 一 旦 丢失 ,存储 的 大 量 敏 感 数据 可 能 失控 ,造成 泄密 等 。 


1. 存储 介质 中 的 数据 保护 


在 使 用 计算 机 的 过 程 中 ,移动 存储 介质 的 使 用 和 管理 环节 存在 一 些 安全 隐患 ,尤其 是 在 
维修 和 报废 处 理 上 不 遵守 保密 管理 规定 ,缺乏 安全 保密 意识 ,给 涉 密 数据 带 来 很 大 的 安全 
风险 。 

对 于 存 有 大 量 信息 的 移动 存储 介质 的 管理 ,应 坚持 预防 为 主 ,规范 涉 密 存 储 介 质 处 置 工 
作 ,定期 检查 涉 密 系统 ,从 软件 上 把 好 安全 保密 关 , 加 强 管理 .堵塞 管理 制度 上 的 安全 漏洞 ， 
充分 利用 管理 和 技术 两 方面 的 手段 ,达到 有 效 防范 信息 泄密 的 目的 。 

(1) 强化 管理 ,加 强人 防 ”, 健 全 安全 保密 的 监督 机 制 

Q@ 加 强 保 密 知识 和 职业 道德 教育 ,提高 员工 的 综合 素质 。 树 立 “ 保 密 就 是 保安 全 、 就 是 
保 效益 ”的 理念 ,从 思想 上 筑 起 一 道 信息 安全 防范 屏障 。 

回 要 开展 安全 知识 培训 ,提高 安全 防范 能 力 。 用 典型 案例 教育 用 户 ,使 他 们 充分 了 解 
移动 存储 介质 在 使 用 中 存在 的 安全 隐患 ,提高 工作 人 员 的 安全 保密 意识 和 自我 防范 能 力 。 

@ 加 强 内 部 管理 ,防范 内 部 风险 。 主 要 是 进一步 完善 存储 介质 的 管理 制度 , 细 化 各 个 
环节 的 管理 规范 和 责任 追究 制度 ,明确 界定 涉 密 信息 范围 实现 移动 存储 介质 信息 安全 保密 
工作 的 规范 化 管理 。 

@ 加 强 对 移动 存储 介质 管理 的 监督 检查 。 要 形成 机 制 ,对 移动 存储 介质 进行 经 常 检 
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查 。 要 树立 管理 权威 ,任何 人 用 于 工作 的 移动 存储 介质 都 要 接受 检查 。 如 果 发 现 违规 情况 
应 依据 规章 制度 进行 处 理 , 以 警示 他 人 。 

@ 对 现 有 的 各 类 移动 存储 介质 进行 登记 造 册 ,明确 使 用 人 员 的 管理 使 用 职责 。 做 到 责 
任 到 人 ,未 经 保密 部 门 登记 的 移动 存储 介质 严禁 存储 涉 密 文件 .数据 。 严 禁 将 移动 存储 介质 
转借 他 人 使 用 。 未 经 技术 处 理 的 移动 介质 不 得 外 送 修理 、 不 得 擅自 销毁 移动 存储 介质 。 

@@ 加 强 对 外 来 人 员 技 术 服 务 的 管理 。 应 当 进 一 步 规范 外 来 人 员 技 术 服务 工作 ,在 外 来 
人 员 进 行 技术 服务 时 要 指派 专人 监督 ,以 防范 外 来 人 员 通 过 技术 服务 方式 窃取 涉 密 信息 及 
重要 数据 。 

@ 建立 文件 备份 和 定期 杀毒 制度 。 对 于 存储 的 重要 信息 要 及 时 进行 备份 ,要 对 移动 存 
储 介质 定期 杀毒 ,做 好 重要 信息 的 防 丢失 和 防 损坏 工作 。 

@ 可 对 移动 存储 介质 进行 分 组 管理 ,支持 针对 设备 组 的 策略 设置 。 

@ 支持 移动 存储 介质 使 用 只 读 、 禁 用 ,加 密 读 写 和 正常 读 写 等 数据 处 理 方式 ,提供 灵活 
的 存储 介质 控制 方法 。 

四 提供 详细 的 审计 记录 ,包括 注册 信息 、 使 用 信息 和 文件 操作 信息 ,记录 要 素 包 括 使 用 
人 、 使 用 计算 机 、 使 用 时 间 和 动作 等 ,并 提供 丰富 的 审计 报告 。 

(2) 突出 “ 技 防 ”, 构 筑 安全 保密 的 防火墙” 

QO@ 大 力 投入 。 树 立 “ 花 钱 买 保密 ,投资 保安 全 ”的 思想 ,加 大 技术 防范 设备 的 投资 ,不 断 
完善 技术 保密 设施 。 

@ 采用 加 密 存储 技术 。 对 涉 密 存储 介质 进行 加 密 , 即 使 发 生 介质 丢失 或 失窃 事件 ,也 
可 确保 存储 介质 上 的 涉 密 信息 不 会 轻易 泄露 出 去 。 

@ 建立 安全 的 身份 认证 机 制 。 这 样 可 有 效 地 防止 未 经 授权 的 用 户 使 用 存储 介质 获取 
敏感 信息 。 

@ 对 文件 加 密 。 对 移动 存储 介质 上 的 文件 和 文件 夹 进行 加 密 。 经 加 密 处 理 后 ,只 有 那 
些 经 过 授权 的 用 户 才 可 对 加 密 后 的 文件 和 文件 夹 进 行 读 、 写 和 修改 等 操作 ,从 而 达到 保密 的 
目的 。 通 过 加 密 读 写 策略 ,还 可 以 有 效 控制 移动 存储 介质 数据 的 共享 范围 。 

@ 防范 窃 密 者 非法 和 人 侵 。 通 过 技术 手段 使 外 来 移动 存储 介质 无 法 介入 涉 密 的 内 部 网 
络 , 内 部 网 中 经 过 认证 后 移动 存储 介质 也 仅 能 在 授权 的 客户 机 上 使 用 。 

@ 采用 存储 介质 注册 机 制 。 这 样 可 使 未 经 注册 的 移动 存储 介质 不 能 在 受 管理 的 计算 
机 系统 中 使 用 ; 可 以 设 定 移 动 存储 介质 允许 使 用 的 用 户 ( 组 ) 和 计算 机 (组 ); 可 随时 更 改 移 
动 存储 介质 的 注册 策略 和 信息 ,包括 策略 变更 .挂失 和 注销 等 ; 对 未 注册 的 移动 存储 介质 ， 
可 提供 默认 策略 (禁用 、 只 读 、 加 密 和 正常 读 写 等 ) 的 支持 ,从 而 降低 管理 难度 。 

@ 对 移动 存储 介质 加 入 识别 信息 ,并 与 安全 策略 配合 , 即 可 控制 在 哪 台 设 备 上 能 使 用 
移动 存储 介质 ,哪些 用 户 可 以 使 用 这 些 移动 存储 介质 ,使 用 到 何 种 程度 (只 读 还 是 读 写 ) 等 。 

@ 采用 电子 证 书 形式 对 移动 存储 介质 进行 认证 管理 。 这 样 可 做 到 如 果 不 知 道 证 书 的 
PIN 码 ,就 无 法 读 取 移动 介质 中 的 数据 。 

加 强 对 USB 端口 进行 管理 。USB 端口 和 USB 存储 设备 不 同 , 如 果 禁 用 USB 端口 ， 
则 所 有 的 USB 设备 都 不 能 使 用 ,其 中 包括 USB 键盘 和 鼠标 。 

由 于 USB 端口 目前 被 广泛 使 用 ,通过 对 端口 的 禁用 可 直接 影响 用 户 的 使 用 ,所 以 对 于 
U 盘 的 管理 ,应 在 保证 USB 端口 易 用 性 的 同时 又 能 保证 U 盘 的 安全 使 用 。 目 前 市 面 上 已 


经 有 相关 的 产品 实现 了 对 U 盘 的 认证 管理 ,这 样 既 保证 了 USB 口 的 使 用 又 有 效 地 规范 了 
U 盘 的 使 用 。 


2. 存储 介质 的 实体 保护 


存储 介质 或 其 存储 信息 的 丢失 ,或 对 它们 的 非法 复制 和 窃取 ,都 将 对 网 络 系统 造成 不 同 
程度 的 损失 。 因 此 ,要 对 存储 介质 实体 进行 保护 ,可 采取 如 下 安全 保护 措施 。 

@ 建立 专门 的 存储 介质 库 ( 柜 ) ,对 存储 介质 库 ( 柜 ) 的 访问 要 限于 少数 的 管理 员 和 操作 
员 。 存 储 介质 库 ( 柜 ) 内 磁带 磁盘 等 介质 的 目录 清单 要 标明 文件 名 文件 所 有 者 、 序 列 号 、 项 
目 号 ,建立 日 期 和 保留 日 期 等 参数 。 

@ 所 有 存储 介质 不 用 时 要 放 在 存储 介质 库 ( 柜 ) 内 。 

@ 要 保持 存储 介质 库 ( 柜 ) 房 内 有 合适 的 温度 ,湿度 。 

@ 对 保管 的 磁带 、 磁 盘 要 做 定期 检查 ,以 防 信息 丢失 。 

@ 对 需要 长 期 保存 的 有 效 数 据 , 应 在 存储 介质 的 质量 保证 期 内 进行 转 储 , 转 储 时 应 确 
保 内 容 正确 。 

@ 打印 有 业务 数据 或 程序 的 纸 质 介质 ,要 视 同 档案 , 妥 为 保管 。 

@ 〇 旧 存 储 介质 销毁 前 进行 消 磁 和 清除 数据 处 理 。 


1.6.2 网 络 数据 的 备份 与 恢复 


在 日 常 工作 中 ,计算 机 病毒 、 黑 客 攻击 、 人 为 操作 错误 、 系 统 软件 或 应 用 软件 缺陷 、 硬 件 
损毁 .突然 断 电 、\ 意 外 宕 机 自然 灾害 等 诸多 因素 都 有 可 能 造成 计算 机 中 数据 的 丢失 ,给 用 户 
造成 无 法 估量 的 损失 。 因 此 ,对 重要 数据 进行 备份 与 恢复 对 用 户 来 说 显得 格外 重要 。 


1. 数据 备份 


(1) 数据 备份 的 概念 

数据 备份 就 是 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ,而 将 全 部 或 部 分 
数据 集合 从 应 用 主机 的 硬盘 或 阵列 中 复制 到 其 他 存储 介质 上 的 过 程 。 计 算 机 系统 中 的 数据 
备份 ,通常 是 指 将 存储 在 计算 机 系统 中 的 数据 复制 到 相应 的 存储 介质 上 ,在 计算 机 以 外 的 地 
方 另 行 保 管 。 这 样 , 当 计算 机 系统 设备 发 生 故 障 或 发 生 其 他 威胁 数据 安全 的 灾害 时 ,能 及 时 
地 从 备份 的 介质 上 恢复 正确 的 数据 。 

数据 备份 就 是 为 了 系统 数据 崩溃 时 能 够 快速 地 恢复 数据 ,使 系统 迅速 恢复 运行 。 那 么 
就 必须 保证 备份 数据 和 源 数据 的 一 致 性 和 完整 性 ,消除 系统 使 用 者 的 后 顾 之 忧 。 其 关键 在 
于 保障 系统 的 高 可 用 性 , 即 操作 失误 或 系统 故障 发 生 后 ,能够 保障 系统 的 正常 运行 。 如 果 没 
有 了 数据 ,一 切 恢复 都 是 不 可 能 实现 的 ,因此 备份 是 一 切 灾难 恢复 的 基石 。 从 这 个 意义 上 
说 ,任何 灾难 恢复 系统 实际 上 都 是 建立 在 备份 基础 上 的 。 数 据 备份 与 恢复 系统 是 数据 保护 
措施 中 最 直接 .最 有 效 、 最 经 济 的 方案 ,也 是 任何 计算 机 信息 系统 不 可 缺少 的 一 部 分 。 

现在 不 少 用 户 也 意识 到 了 这 一 点 ,采取 了 系统 定期 检测 与 维护 、 双 机 热 备份 .磁盘 镜像 
或 容错 、 备 份 磁带 异地 存放 、 关 键 部 件 元 余 等 多 种 预防 措施 。 这 些 措施 一 般 能 够 进行 数据 备 
份 ,并 且 在 系统 发 生 故 障 后 能 够 进行 快速 系统 恢复 。 

数据 备份 能 够 用 一 种 增加 数据 存储 代价 的 方法 保护 数据 安全 , 它 对 于 拥有 重要 数据 的 
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大 企 事 业 单位 是 非常 重要 的 ,因此 数据 备份 和 恢复 通常 是 大 中 型 企 事 业 网 络 系统 管理 员 每 
天 必 做 的 工作 之 一 。 对 于 个 人 计算 机 用 户 ,数据 备份 也 是 非常 必要 的 。 

传统 的 数据 备份 主要 是 采用 内 置 或 外 置 的 磁带 机 进行 冷 备份 。 一 般 来 说 ,各 种 操作 系 
统 都 附带 了 备份 程序 。 但 随 着 数据 的 不 断 增 加 和 系统 要 求 的 不 断 提高 ,附带 的 备份 程序 已 
无 法 满足 需求 。 要 想 对 数据 进行 可 靠 的 备份 ,必须 选择 专门 的 备份 软 、 硬 件 , 并 制定 相应 的 
备份 及 恢复 方案 。 

目前 比较 常用 的 数据 备份 工具 如 下 。 

@ 本 地 磁带 备份 。 利 用 大 容量 磁带 备份 数据 。 

@ 本 地 可 移动 存储 器 备份 。 利 用 大 容量 等 价 软盘 驱动 器 .可 移动 等 价 硬盘 驱动 器 、 一 
次 性 可 刻录 光盘 驱动 器 .可 重复 刻录 光盘 驱动 器 进行 数据 备份 。 

@ 本 地 可 移动 硬盘 备份 。 利 用 可 移动 硬盘 备份 数据 。 

@ 本 机 多 硬盘 备份 。 在 本 机 内 装 有 多 块 硬盘 ,利用 除 安装 和 运行 操作 系统 和 应 用 程序 
的 硬盘 外 的 其 余 硬 盘 进 行 数据 备份 。 

@ 远程 磁带 库 光盘 库 备份 。 将 数据 传送 到 远程 备份 中 心 制作 完整 的 备份 磁带 或 光盘 。 

@ 远程 数据 库 备份 。 在 与 主 数据 库 所 在 生产 机 相 分 离 的 备份 机 上 建立 主 数据 库 的 一 
个 复制 。 

@ 网 络 数据 镜像 。 对 生产 系统 的 数据 库 数 据 和 所 需 跟踪 的 重要 目标 文件 的 更 新 进行 
监控 与 跟踪 ,并 将 更 新 日 志 实时 通过 网 络 传送 到 备份 系统 ,备份 系统 则 根据 日 志 对 磁盘 进行 
更 新 。 

@ 远程 镜像 磁盘 。 通 过 高 速 光纤 通道 线路 和 磁盘 控制 技术 将 镜像 磁盘 延伸 到 远离 生 
产 机 的 地 方 ,镜像 磁盘 数据 与 主 磁盘 数据 完全 一 致 ,更 新 方式 为 同步 或 异步 。 

(2) 数据 备份 的 类 型 

按 数 据 备份 时 数据 库 状态 的 不 同 可 分 为 冷 备份 . 热 备份 和 仙 辑 备份 等 数据 备份 类 型 。 

O@ 冷 备份 

冷 备份 (cold backup) 是 指 在 关闭 数据 库 的 状态 下 进行 的 数据 库 完 全 备份 。 备 份 内 容 
包括 所 有 的 数据 文件 ,控制 文件 ,联机 日 志文 件 等 。 因 此 ,在 进行 冷 备份 时 数据 库 不 能 被 访 
问 。 冷 备份 通常 只 采用 完全 备份 。 

@ 热 备份 

热 备份 (hot backup) 是 指 在 数据 库 运 行 状 态 下 对 数据 文件 和 控制 文件 进行 的 备份 。 使 
用 热 备份 必须 将 数据 库 运 行 在 归档 方式 下 。 在 进行 热 备份 的 同时 可 以 进行 数据 库 的 各 种 
操作 。 

@ 逻辑 备份 

逻辑 备份 是 最 简单 的 备份 方法 ,可 按 数据 库 中 某 个 表 、 某 个 用 户 或 整个 数据 库 进行 导 
出 。 使 用 这 种 方法 时 数据 库 必须 处 于 打开 状态 , 且 如 果 数 据 库 不 是 在 restrict 状态 将 不 能 
保证 导出 数据 的 一 致 性 。 

(3) 数据 备份 策略 

需要 进行 数据 备份 的 部 门 都 要 先 制定 数据 备份 策略 。 数 据 备份 策略 包括 确定 需 备份 的 
数据 内 容 ( 如 进行 完全 备份 、 增 量 备份 ,差别 备份 还 是 按 需 备份 )、 备 份 类 型 (如 采用 冷 备 份 还 
是 热 备份 ) ,备份 周期 (如 以 月 、 周 日 还 是 小 时 为 备份 周期 )、 备 份 方 式 ( 如 采用 手工 备份 还 是 


自动 备份 ) 、 备 份 介质 (如 以 光盘 、 硬 盘 、 磁 带 还 是 U 盘 做 备份 介质 ) 和 备份 介质 的 存放 等 。 
下 面 是 不 同 数据 内 容 的 几 种 备份 方式 。 

J@ 完全 备份 

完全 备份 (full backup) 是 指 按 备份 周期 (如 一 天 ) 对 整个 系统 所 有 的 文件 (数据 ) 进 行 备 
份 。 这 种 备份 方式 比较 流行 ,也 是 克服 系统 数据 不 安全 的 最 简单 方法 ,操作 起 来 比较 方便 。 
有 了 完全 备份 ,可 恢复 网 络 系统 备份 日 之 前 的 所 有 信息 ,恢复 操作 也 可 一 次 性 完成 。 如 当 发 
现 数据 丢失 时 ,只 要 用 一 盘 故 障 发 生前 一 天 备份 的 磁带 , 即 可 恢复 丢失 的 数据 。 但 这 种 方式 
的 不 足 之 处 是 由 于 每 天 都 对 系统 进行 完全 备份 ,在 备份 数据 中 必定 有 大 量 的 内 容 是 重复 的 ， 
这 些 重复 的 数据 占用 了 大 量 的 磁带 空间 ,这 对 用 户 来 说 就 意味 着 增加 成 本 ; 另外 ,由 于 进行 
完全 备份 时 需要 备份 的 数据 量 相当 大 ,因此 备份 所 需 时 间 较 长 。 对 于 那些 业务 繁忙 ,备份 窗 
口 时 间 有 限 的 单位 ,选择 这 种 备份 策略 是 不 合适 的 。 

@ 增 量 备 份 

增 量 备份 (incremental backup) 是 指 每 次 备份 的 数据 只 是 相当 于 上 一 次 备份 后 增加 和 
修改 过 的 内 容 , 即 备份 的 都 是 已 更 新 过 的 数据 。 比 如 ,系统 在 星期 日 做 了 一 次 完全 备份 , 然 
后 在 以 后 的 六 天 里 每 天 只 对 当天 新 的 或 被 修改 过 的 数据 进行 备份 。 这 种 备份 的 优点 是 没有 
或 减少 了 重复 的 备份 数据 , 既 节 省 存储 介质 空间 ,又 缩短 了 备份 时 间 。 但 它 的 缺点 是 恢复 数 
据 过 程 比较 麻烦 ,不 可 能 一 次 性 地 完成 整体 的 恢复 。 

@ 差别 备份 

差别 备份 (differential backup) 也 是 在 完全 备份 后 将 新 增加 或 修改 过 的 数据 进行 备份 ， 
但 它 与 增 量 备份 的 区 别 是 每 次 备份 都 把 上 次 完全 备份 后 更 新 过 的 数据 进行 备份 。 比 如 , 星 
期 日 进行 完全 备份 后 ,其 余 六 天 中 的 每 一 天 都 将 当天 所 有 与 星期 日 完全 备份 时 不 同 的 数据 
进行 备份 。 差 别 备份 可 节省 备份 时 间 和 存储 介质 空间 ,只 需 两 盘 磁 带 (星期 日 备份 磁带 和 故 
障 发 生前 一 天 的 备份 磁带 ) 即 可 恢复 数据 。 差 别 备 份 兼 有 具 了 完全 备份 的 发 生 数 据 丢 失 时 恢 
复数 据 较 方便 和 增 量 备份 的 节省 存储 空间 及 备份 时 间 的 优点 。 

完全 备份 所 需 的 时 间 最 长 ,占用 存储 介质 容量 最 大 ,但 数据 恢复 时 间 最 短 ,操作 最 方便 ， 
当 系 统 数据 量 不 大 时 该 备份 方式 最 可 靠 ; 但 当 数 据 量 增 大 时 ,很 难 每 天 都 做 完全 备份 ,可 选 
择 周末 做 完全 备份 ,在 其 他 时 间 采 用 所 用 时 间 最 少 的 增 量 备份 或 时 间 介 于 两 者 之 间 的 差别 
备份 。 在 实际 备份 中 ,通常 也 是 根据 具体 情况 ,采用 这 几 种 备份 方式 的 组 合 , 如 年 底 做 完全 
备份 ,月 底 做 完全 备份 ,周末 做 完全 备份 ,而 每 天 做 增 量 备份 或 差别 备份 。 

@ 按 需 备 份 

除 以 上 备份 方式 外 ,还 可 采用 对 随时 所 需 数 据 进行 备份 的 方式 进行 数据 备份 。 按 需 备 
份 就 是 指 除 正常 备份 外 ,额外 进行 的 备份 操作 。 额 外 备份 可 以 有 许多 理由 ,比如 ,只 想 备 份 
很 少 几 个 文件 或 目录 ,备份 服务 器 上 所 有 的 必需 信息 ,以 便 进 行 更 安全 的 升级 等 。 这 样 的 备 
份 在 实际 应 用 中 经 常 遇 到 。 


2. 数据 恢复 


数据 恢复 是 指 将 备份 到 存储 介质 上 的 数据 再 恢复 到 计算 机 系统 中 , 它 与 数据 备份 是 一 
个 相反 的 过 程 。 
数据 恢复 措施 在 整个 数据 安全 保护 中 占有 相当 重要 的 地 位 ,因为 它 关 系 到 系统 在 经 历 
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灾难 后 能 和 否 迅速 恢复 运行 。 

通常 , 当 硬 盘 数据 被 破坏 时 , 当 需 要 查询 以 往年 份 的 历史 数据 ,而 这 些 数据 又 已 从 现 系 
统 上 清除 ,或 当 系统 需要 从 一 台 计算 机 转移 到 另 一 台 计算 机 上 运行 时 ,应 使 用 数据 恢复 功能 
进行 数据 恢复 。 

(1) 恢复 数据 时 的 注意 事项 

。 由 于 恢复 数据 是 覆盖 性 的 ,不 正确 的 恢复 可 能 破坏 硬盘 中 的 最 新 数据 ,因此 在 进行 
数据 恢复 时 ,应 先 将 硬盘 数据 备份 。 
进行 恢复 操作 时 ,用 户 应 指明 恢复 何 年 何 月 的 数据 。 当 开始 恢复 数据 时 ,系统 首先 
识别 备份 介质 上 标识 的 备份 日 期 是 否 与 用 户 选择 的 日 期 相同 ,如 果 不 同 将 提醒 用 户 
更 换 备份 介质 。 
由 于 数据 恢复 工作 比较 重要 ,容易 错 把 系统 上 的 最 新 数据 变 成 备份 盘 上 的 旧 数 据 ， 
因此 应 指定 少数 人 进行 此 项 操作 。 
不 要 在 恢复 过 程 中 关机 、 关 电源 或 重新 启动 计算 机 。 
不 要 在 恢复 过 程 中 打开 驱动 器 开关 或 抽出 软盘 、 光 盘 ( 除 非 系 统 提示 换 盘 )。 

(2) 数据 恢复 的 类 型 

一 般 来 说 ,数据 恢复 操作 比 数据 备份 操作 更 容易 出 问题 。 数 据 备份 只 是 将 信息 从 磁盘 复 
制 出 来 ,而 数据 恢复 则 要 在 目标 系统 上 创建 文件 。 在 创建 文件 时 会 出 现 许多 差错 ,如 超过 容量 
限制 .权限 问题 和 文件 覆盖 错误 等 。 数 据 备份 操作 不 需 知道 太 多 的 系统 信息 ,只 需 复制 指定 
信息 就 可 以 了 ; 而 数据 恢复 操作 则 需要 知道 哪些 文件 需要 恢复 ,哪些 文件 不 需要 恢复 等 。 

数据 恢复 操作 通常 有 全 盘 恢 复 、 个 别 文件 恢复 和 重 定向 恢复 三 种 类 型 。 

加 全 盘 恢 复 

全 盘 恢 复 就 是 将 备份 到 介质 上 的 指定 系统 信息 全 部 转 储 到 它们 原来 的 地 方 。 全 盘 恢 复 
一 般 应 用 在 服务 器 发 生意 外 灾难 时 导致 数据 全 部 丢失 、` 系 统 崩溃 或 是 有 计划 的 系统 升级 、 系 
统 重组 等 ,也 称 为 系统 恢复 。 

@ 个 别 文件 恢复 

个 别 文件 恢复 就 是 将 个 别 已 备份 的 最 新 版 文件 恢复 到 原来 的 地 方 。 对 大 多 数 备 份 来 
说 ,这 是 一 种 相对 简单 的 操作 。 个 别 文件 恢复 要 比 全 盘 恢 复 用 得 更 普遍 。 利 用 网 络 备份 系 
统 的 恢复 功能 ,很 容易 恢复 受 损 的 个 别 文件 。 需 要 时 只 要 浏览 备份 数据 库 或 目录 ,找到 该 文 
件 , 启 动 恢复 功能 ,系统 将 自动 驱动 存储 设备 ,加 载 相 应 的 存储 媒体 ,恢复 指定 文件 。 

@ 重 定向 恢复 

重 定向 恢复 是 将 备份 的 文件 (数据 恢复 到 另 一 个 不 同 的 位 置 或 系统 上 去 ,而 不 是 做 备 
份 操作 时 它们 所 在 的 位 置 。 重 定向 恢复 可 以 是 整个 系统 恢复 ,也 可 以 是 个 别 文件 恢复 。 驾 
定向 恢复 时 需要 慎重 考虑 ,要 确保 系统 或 文件 恢复 后 的 可 用 性 。 


合 题 和 思考 是 


一 、 问 答题 
1. 何 为 计算 机 网 络 安全 ? 网 络 安全 有 哪 几 个 特征 ? 其 特征 的 含义 是 什么 ? 
2. 简 述 网 络 安全 的 需求 与 目标 。 


是 


第 1 章 ”网 络 安 全 概述 


3. 简 述 Internet 上 的 主要 危险 。 

4. 网 络 系统 的 脆弱 性 主要 表现 在 哪 几 个 方面 ? 

5. 网 络 安全 的 威胁 主要 来 自 哪些 方面 ? 通常 说 的 网 络 威胁 有 哪 两 大 类 ? 

6. 简 述 网 络 系统 的 日 常 管理 和 安全 维护 措施 。 

7. 请 列 出 你 熟悉 的 几 种 常用 的 网 络 安全 防护 措施 。 

二 、 填空 题 

1. 网 络 系统 的 ( ) 性 是 指 保证 网 络 系统 不 因 各 种 因素 的 影响 而 中 断 正常 工作 。 

2. 数据 的 ( ) 性 是 指 在 保证 软件 和 数据 完整 性 的 同时 ,还 要 能 使 其 被 正常 利用 和 
操作 。 

3. 网 络 攻击 主要 有 ( ) 攻 击 和 ( ) 攻 击 两 大 类 。 

4. 网 络 威胁 主要 来 自 人 为 影响 和 外 部 ( ) 的 影响 ,它们 包括 对 网 络 设备 的 威胁 和 对 
( ) 的 威胁 。 

5. 被 动 攻 击 的 特点 是 偷 听 或 监视 传送 ,其 目的 是 获得 ( 人 

6. 某 些 人 或 某 些 组 织 想方设法 利用 网 络 系统 来 获取 相应 领域 的 敏感 信息 ,这 种 威胁 属 
Fé ) 威 胁 。 

7. 软 、 硬 件 的 机 能 失常 .人 为 误 操 作 、 管 理 不 善 而 引起 的 威胁 属于 ( ) 威 胁 。 

8. 使 用 特殊 技术 对 系统 进行 攻击 ,以 便 得 到 有 针对 性 的 信息 就 是 一 种 ( ) 攻 击 。 

9. 数据 恢复 操作 的 种 类 有 ( jt ) 和 重 定向 恢复 。 

三 、 单 项 选择 题 

1. 入 侵 者 通过 观察 网 络 线路 上 的 信息 ,而 不 干扰 信息 的 正常 流动 ,如 搭 线 窃 听 或 非 授 
权 地 阅读 信息 ,这 是 属于 ( je 

A. 被 动 攻击 B. 主动 攻击 C. 无 意 威 胁 D. 系统 缺陷 

2. 入 侵 者 对 传输 中 的 信息 或 存储 的 信息 进行 各 种 非法 处 理 ,如 有 选择 地 更 改 、 插 入 、 延 
述 ,删除 或 复制 这 些 信息 , 这 是 属于 ( 入 


A. 无 意 威胁 B. 主动 攻击 C. 系统 缺陷 D. 漏洞 威胁 
3. 入侵 者 利用 操作 系统 存在 的 后 门 进 入 系统 进行 非法 操作 ,这 样 的 威胁 属于 ( ”)。 
A. 被 动 攻击 B. 无 意 威胁 C. 系统 缺陷 D. 窃取 威胁 


4. 软件 错误 文件 损坏 .数据 交换 错误 、 操 作 系统 错误 等 是 影响 数据 完整 性 的 ( ) 
原因 。 

A. 人 为 因素 B. 软件 和 数据 故障 C. 硬件 故障 D. 网 络 故障 

5. 磁盘 故障 、I/O 控制 器 故障 .电源 故障 、 存 储 器 故障 .芯片 和 主板 故障 是 影响 数据 完 
整 性 的 ( ) 原 因 。 


A. 人 为 因素 B. 软件 故障 C. 网 络 故 障 D. 硬件 故障 
6. 属于 通信 系统 与 通信 协议 的 脆弱 性 的 是 ( Ns 

A. 介质 的 剩 磁 效 应 B. 硬件 和 软件 故障 

C. TCP/IP 漏洞 D. 数据 库 分 级 管理 

7. 属于 计算 机 系统 本 身 的 脆弱 性 的 是 ( js 

A. 硬件 和 软件 故障 B. 介质 的 剩 磁 效 应 

C. TCP/IP 漏洞 D. 数据 库 分 级 管理 
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SA 


大 类 。 


8. 网 络 系统 面临 的 威胁 主要 是 来 自 (1)( 


(1) A. 无 意 威 胁 和 故意 威胁 
C. 主动 攻击 和 被 动 攻击 
(2) A. 无 意 威 胁 和 故意 威胁 
C. 主动 攻击 和 被 动 攻击 


9. 网 络 安全 包括 (1)( 
常 所 说 可 靠 性 、 保 密 性 完整 性 和 可 用 性 。(3)( 
据 不 被 非法 操作 。(4)( 
) 主 要 是 利用 密码 技术 对 数据 进行 加 密 处 理 , 保 证 在 系统 中 传输 的 数据 不 被 无 


作 。 5 

关 人 员 识 别 。 
(1) A. 系统 
(2) A. 系统 
(3) A. 保密 性 
(4) A. 保密 性 
(5) A. 保密 性 


) 安 全 运行 和 (2)( 


) 影 响 ,这 些 威胁 大 致 可 分 为 (2)( 


B. 人 为 和 自然 环境 
D. 软件 系统 和 硬件 系统 
B. 人 为 和 自然 环境 
D. 软件 系统 和 硬件 系统 


) 两 


) 安 全 保护 两 方面 的 内 容 。 这 就 是 通 


) 是 指 保护 网 络 系统 中 存储 和 传输 的 数 


) 是 指 在 保证 数据 完整 性 的 同时 ,还 要 能 使 其 被 正常 利用 和 操 


员 员 郧 员 员 


通信 
通信 
完整 性 
完整 性 
完整 性 


. 信息 
. 信息 
. 可 靠 性 
. 可靠 性 
. 可靠 性 


| 


传输 
传输 
可 用 性 
可 用 性 
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计算 机 网 络 系统 的 硬件 设备 一 般 价格 比较 昂贵 ,一 旦 被 破坏 且 又 不 能 及 时 修复 时 ,不 仅 
会 造成 经 济 损失 ,而 且 可 能 使 整个 网 络 系统 瘫痪 ,产生 严重 的 后 果 。 因 此 必须 加 强 对 计算 机 
网 络 系 统 硬件 设备 的 使 用 管理 ,坚持 做 好 硬件 设备 的 日 常 维护 和 保养 工作 。 

对 硬件 设备 的 使 用 管理 ,通常 要 做 到 : 

。 根据 硬件 设备 的 具体 配置 ,制定 切实 可 行 的 硬件 设备 操作 使 用 规范 ,并 严格 按照 规 

范 进 行 操 作 。 

。 建立 设备 使 用 情况 日 志 ,并 严格 登记 使 用 过 程 情况 。 

。 建立 硬件 设备 故障 情况 登记 表 , 详 细 记录 故障 性 质 和 修复 情况 。 

。 坚持 对 硬件 设备 进行 例 行 维护 和 保养 ,并 指定 专人 负责 。 

对 硬件 设备 的 维护 和 保养 ,就 是 要 对 常用 的 硬件 设备 进行 必要 的 维护 和 保养 ,这 些 硬件 
设备 包括 客户 端 硬件 设备 (如 主机 、 显 示 器 、 软 驱 、 打 印 机 、 硬 盘 ) 和 网 络 设备 (如 Hub、 交 换 
机 、 路 由 器 、Modem、RJ-45 接头 、 网 络 线 缆 、 各 种 服务 器 )。 此 外 ,还 要 定期 检查 供电 系统 的 
各 种 保护 装置 及 地 线 是 否 正常 。 


@.1 物理 安全 


计算 机 系统 无 论 是 硬件 还 是 软件 都 不 可 避免 存在 发 生 故 障 的 可 能 ,但 并 不 是 发 生 故 障 
就 一 定 意味 着 该 系统 完全 失效 。 计 算 机 系统 大 多 拥有 “容错 ”能力 , 即 允 许 存 在 某 些 错误 , 尽 
管 系统 硬件 有 故障 或 程序 有 错误 , 仍 能 正确 执行 特定 算法 和 提供 系统 服务 。 


2.1.1 网 络 的 元 余 安全 


采用 “ 宛 余 技术 ”是 实现 计算 机 容错 的 主要 手段 “元 余 ” 就 是 增加 一 些 多 余 设 备 ,以 保 
证 系统 更 加 可 靠 、 安 全 地 工作 。 元 余 的 分 类 方法 多 种 多 样 , 按 照 在 系统 中 所 处 的 位 罗 , 宛 余 
可 分 为 元 件 级 、 部 件 级 和 系统 级 ; 按照 元 余 的 程度 可 分 为 1 : 1 宛 余 .1 : 2 元 余 、1: n 宛 余 
等 。 在 当前 元 器 件 可 靠 性 不 断 提高 的 情况 下 ,与 其 他 形式 的 元 余 方 式 相 比 ,1 : 1 的 部 件 级 
热 宛 余 是 一 种 有 效 而 又 相对 简单 、 配 置 灵活 的 元 余 技 术 实 现 方式 ,如 IO 卡 件 宛 余 . 电 源 宛 
余 , 主 控制 器 元 余 等 。 

元 余 设计 的 目的 是 : 系统 运行 不 受 局 部 故障 的 影响 ,故障 部 件 的 维护 对 整个 系统 的 功 
能 实现 没有 影响 ,并 可 以 实现 在 线 维护 ,使 故障 部 件 得 到 及 时 的 修复 。 砚 余 设 计 会 增加 系统 
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设计 的 难度 , 宛 余 配置 会 增加 用 户 的 投资 ,但 这 种 投资 换 来 了 系统 的 可 靠 性 ,提高 了 整个 用 
户 系统 的 平均 无 故障 时 间 , 缩 短 了 平均 故障 修复 时 间 。 两 个 部 件 组 成 的 并 联系 统 ( 互 为 宛 
余 ) 与 单 部 件 相 比 ,平均 无 故障 时 间 是 原来 的 1.5 倍 。 系 统 的 可 用 性 指标 可 以 用 两 个 参数 进 
行 简单 的 描述 : 一 个 是 平均 无 故障 时 间 (MTBF),MTBF 一 般 指 产品 在 两 次 故障 之 间 的 平 
均 时 间 间 隔 ,是 产品 的 平均 寿命 的 指标 之 一 ; 另 一 个 是 平均 修复 时 间 (MTBR) ,MTBR 一 般 
指 产品 的 故障 维修 所 需 的 平均 修复 时 间 , 是 产品 可 维修 性 的 衡量 指标 ,MTBR 越 短 表示 易 
恢复 性 越 好 。 


1. 网 络 拓扑 设计 的 元 余 链 路 


在 企业 进行 网 络 拓扑 结构 的 设计 时 ,一 般 采 取 星 型 结构 和 环 型 结构 的 混合 。 在 核心 层 
采用 环 型 结构 ,在 汇聚 层 和 接 入 层 采取 星 型 结构 ,并 充分 考虑 双核 心 交换 机 和 汇聚 交换 机 以 
及 网 络 服务 设备 之 间 在 物理 链 路 上 的 宛 余 。 正 常 工 作 时 , 宛 余 的 两 条 数据 高 速 通路 同时 并 
行 工作 ,自动 分 挫 网 络 流量 ,使 系统 网 络 通信 带宽 提高 。 当 其 中 一 路 故障 (接口 损坏 或 出 现 
线路 故障 ) 时 , 另 一 路 自动 地 承担 全 部 通信 负载 ,保证 通信 的 正常 进行 ,如 图 2. 1 所 示 。 


服务 器 系统 (x 


对 外 ) 


2.1 网 络 拓扑 设计 中 实现 链 路 的 元 余 


2. 供电 系统 的 宛 余 


电源 是 整个 网 络 系统 得 以 正常 工作 的 动力 源泉 。 一 旦 电源 单元 发 生 故 障 , 往 往 会 使 整 
个 系统 的 工作 中 断 ,造成 严重 后 果 。 要 使 系统 能 够 安全 可 靠 、 长 期 .稳定 地 运行 ,首先 必须 保 
证 稳定 供电 。 供 配 电 系 统 的 安全 、 可 靠 是 保证 机 房 设备 安全 可 靠 运 行 的 关键 。 机 房 设备 属 
于 一 级 负荷 , 按 一 级 负荷 的 供电 要 求 必须 保证 两 个 以 上 独立 的 电源 点 供电 。 

采用 元 余 的 电源 备份 方案 ,并 保障 充分 、 持 续 的 电力 供应 。 对 于 城市 供电 而 言 相对 比较 
稳定 ,一般 不 会 长 时 间 停 电 , 如 果 停 电 也 将 是 区 域 性 停电 ,因此 可 考虑 使 用 UPS 作为 备份 电 
源 。 电 池 延 时 时 间 的 长 度 要 根据 机 房 的 实际 情况 来 定 , 一 般 建议 一 小 时 以 上 。 结 合 实际 情 
况 , 采 用 市 电 十 UPS 后 备 电池 相 结 合 的 供电 方式 。 正 常情 况 下 ,市 电 通 过 UPS 稳 频 稳 压 
后 ,给 计算 机 设备 供电 ,保证 计算 机 设备 的 电能 质量 。 当 市 电 停电 时 ,后 备 电池 通过 UPS 逆 
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变 后 ,给 计算 机 设备 供电 。 市 电 与 UPS 后 备 电 池 间 通过 静态 转换 开关 切换 ,确保 计算 机 设 
备 无 瞬间 断 电 。 


2.1.2 网 络 设 备 的 宛 余 


网 络 系统 的 主要 设备 有 核心 交换 机 、 服 务 器 、 存 储 设备 以 及 网 络 边界 设备 (如 路 由 器 、 防 
火 墙 ) 等 。 为 保证 网 络 系统 能 正常 运行 和 提供 正常 的 服务 ,在 进行 网 络 设计 时 要 充分 考虑 主 
要 设备 的 部 件 或 设备 的 宛 余 。 

1. 核心 交换 机 宛 余 


核心 交换 机 在 网 络 运 行 和 服务 中 占有 非常 重要 的 地 位 ,在 元 余 设 计时 要 充分 考虑 该 设 
备 的 部 件 和 设备 的 元 余 ,以 保证 网 络 的 可 靠 性 。 

核心 交换 机 中 电源 模块 的 故障 率 相对 较 高 ,为 了 保证 核心 交换 机 的 正常 运行 ,一 般 考虑 
在 核心 交换 机 上 增 配 一 块 电 源 模 块 , 实 现 该 部 件 的 元 余 。 为 了 保证 核心 交换 机 的 可 靠 运行 ， 
可 在 本 地 机 房 配备 双核 心 交换 机 或 在 异地 配备 双核 心 交 换 机 ,通过 链 路 的 宛 余 实行 核心 交 
换 设 备 的 宛 余 。 同 时 针对 网 络 的 应 用 和 扩展 需要 ,还 需 在 网 络 的 各 类 光电 接口 以 及 插 槽 数 
上 考虑 有 充分 的 元 余 。 


2. 服务 器 元 余 


在 网 络 系统 中 ,服务 器 的 种 类 和 应 用 比较 多 , 宛 余 设计 是 非常 必要 的 。 如 数 千 台 计 算 机 
的 IP 地 址 管理 是 个 大 问题 ,为 了 解决 这 个 问题 ,许多 企业 网 络 会 采用 DHCP 服务 器 来 动态 
地 给 客户 机 分 配 IP 地 址 。 但 是 这 同样 潜在 一 种 安全 隐患 , 即 如 果 DHCP 服务 器 因为 某 种 
原因 瘫痪 了 ,DHCP 服务 自然 也 就 无 法 使 用 ,客户 机 也 就 无 法 获得 正确 的 IP 地 址 ,从 而 影响 
整个 企业 网 络 的 正常 运行 。 

可 以 通过 同时 配置 两 台 DHCP 服务 器 来 解决 该 问题 。 如 果 其 中 的 一 台 DHCP 服务 器 
有 故障 了 , 另 一 台 DHCP 服务 器 就 会 自动 承担 分 配 IP 地 址 的 任务 。 对 于 用 户 来 说 ,这 个 过 
程 是 透明 的 ,用 户 并 不 知道 DHCP 服务 器 的 变化 。 

为 了 保证 系统 的 可 靠 性 ,通常 对 服务 器 还 可 采用 部 件 元 余 技 术 、RAID 技术 等 为 计算 机 
的 日 常 工作 保驾 护航 。 

(1) 部 件 宛 余 技术 

服务 器 是 由 众多 部 件 模块 组 成 的 ,通常 情况 下 ,故障 会 在 一 些 特 定 的 模块 发 生 ( 如 电 
源 ) ,为 此 服务 器 也 可 采用 特定 模块 完 余 ,如 配备 双 电 源 。 这 样 , 当 一 个 电源 发 生 故 障 停止 运 
转 , 另 一 个 电源 仍然 能 够 提供 服务 器 正常 运转 所 需要 的 能 源 。 

(2) RAID 技术 

廉价 元 余 磁盘 阵列 (redundant array of independent disks, RAID ) 技 术 就 是 利用 多 个 磁盘 
的 组 合 提供 高 效率 及 宛 余 的 功能 。 采 用 RAID 技术 可 保护 硬盘 中 的 数据 不 因 硬盘 的 物理 损坏 
而 丢失 。RAID 技术 有 多 个 级 别 , 目 前 常用 的 RAID 级 别 有 RAID0、RAID1 和 RAID5 等 。 


3. 存储 设备 元 余 
存储 设备 是 数据 存储 的 载体 。 为 了 保证 存储 设备 的 可 靠 性 和 有 效 性 可 在 本 地 或 异地 设 
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计 存 储 设备 宛 余 。 目 前 数据 的 存储 设备 多 种 多 样 ,根据 需要 可 选择 刻录 光驱 、 磁 带 机 、 磁 盘 
阵列 等 设备 宛 余 。 


4. 网 络 边界 设备 元 余 


对 于 比较 重要 的 网 络 系统 或 重要 的 服务 系统 ,对 路 由 器 和 防火 墙 等 网 络 边界 设备 的 可 
用 性 要 求 也 非常 高 ,一旦 该 类 设备 出 现 故障 则 影响 内 网 和 外 网 的 互 连 。 因 此 ,在 必要 的 时 候 
可 对 部 分 网 络 边 界 设备 进行 元 余 设计 。 


@.3 路 由 器 安全 与 应 用 实践 


路 由 器 是 网 络 的 神经 中 枢 , 是 众多 网 络 设备 的 重要 一 员 , 它 担负 着 网 间 互 连 、 路 由 走向 、 
协议 配置 和 网 络 安全 等 重任 ,是 信息 出 入 网 络 的 必 经 之 路 。 广 域 网 就 是 靠 一 个 个 路 由 器 连 
接 起 来 组 成 的 ,局 域 网 中 也 已 经 普遍 应 用 到 了 路 由 器 。 在 很 多 企 事业 单位 ,已 经 用 路 由 器 来 
接 人 网 络 进行 数据 通信 ,可 以 说 ,路 由 器 现在 已 经 成 为 大 众 化 的 网 络 设备 了 。 

路 由 器 对 网 络 的 应 用 和 安全 具有 极 重要 的 地 位 。 随 着 路 由 器 应 用 的 广泛 和 普及 , 它 的 
安全 性 也 成 为 一 个 热门 话题 。 路 由 器 的 安全 直接 关系 到 网 络 的 安全 。 下 面 介绍 网 络 安全 中 
路 由 器 的 安全 配置 。 


2.2.1 路 由 协议 与 访问 控制 
1. 路 由 选择 及 协议 


路 由 器 是 网 络 互 连 关键 设备 ,其 主要 工作 是 为 经 过 路 由 器 的 多 个 分 组 寻找 一 个 最 佳 传 
输 路 径 ,并 将 分 组 有 效 地 传输 到 目的 地 。 路 由 选择 是 根据 一 定 的 原则 和 算法 在 多 节点 的 通 
信子 网 中 选择 一 条 从 源 节点 到 目的 节点 的 最 佳 路 径 。 当 然 ,最 佳 路 径 是 相对 于 几 条 路 径 中 
较 好 的 路 径 而 言 的 ,一 般 是 选择 时 延 小 .路 径 短 `. 中 间 节 点 少 的 路 径 作 为 最 佳 路 径 。 通 过 路 
由 选择 ,可 使 网 络 中 的 信息 流量 合理 分 配 ,减轻 拥挤 ,提高 传输 效率 。 

路 由 选择 算法 可 分 为 静态 路 由 选择 算法 和 动态 路 由 选择 算法 两 大 类 。 静 态 路 由 选择 是 
根据 某 种 固定 的 规则 进行 的 ,路 由 选择 一 旦 完成 就 不 再 变化 ,不 会 对 网 络 的 信息 流量 和 拓扑 
变化 作出 响应 ,因此 也 称 为 非 自 适应 性 路 由 选择 算法 ; 动态 路 由 选择 是 根据 网 络 拓扑 结构 
和 信息 流量 的 变化 而 改变 的 路 由 选择 ,因此 也 称 为 自 适应 性 路 由 选择 算法 。 

在 路 由 器 上 利用 路 由 选择 协议 主动 交换 路 由 信息 ,建立 路 由 表 并 根据 路 由 表 转 发 分 组 。 
通过 路 由 选择 协议 ,路 由 器 可 动态 适应 网 络 结构 的 变化 ,并 找到 到 达 目 的 网 络 的 最 佳 路 径 。 
路 由 表 可 以 是 事先 设置 好 的 ( 称 为 静态 路 由 表 ) ,一 旦 它 固定 下 来 ,就 不 会 随 将 来 网 络 结构 和 
状态 的 变化 而 变化 ; 路 由 表 也 可 以 是 由 系统 动态 修改 的 ( 称 为 动态 路 由 表 ) ,利用 路 由 器 的 
自学 习 能 力 自动 记忆 网 络 的 运行 情况 ,计算 出 最 佳 传输 路 径 , 当 网 络 的 外 部 条 件 改变 时 ,路 
由 器 能 重新 自学 习 并 动态 修改 路 由 表 , 保 证 网 络 传输 的 实效 性 。 动 态 路 由 表 可 以 由 路 由 器 
自动 调整 ,也 可 以 由 主机 控制 调整 。 

静态 路 由 算法 在 网 络 业务 量 或 拓扑 结构 变化 不 大 的 情况 下 ,才能 获得 较 好 的 网 络 性 能 。 
在 现代 网 络 中 ,广泛 采用 的 是 动态 路 由 算法 。 在 动态 路 由 选择 算法 中 ,分 布 式 路 由 选择 算法 
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是 很 优秀 的 ,得 到 了 广泛 的 应 用 。 在 该 类 算法 中 ,最 常用 的 是 距离 向 量 路 由 选择 (distance 
vector routing,DVR) 算 法 和 链 路 状态 路 由 选择 (link state routing,LSR) 算 法 。 前 者 经 过 改 
进 ,成 为 目前 广泛 应 用 的 路 由 信息 协议 (routing information protocol,RIP) ,后 者 则 发 展 成 
为 开放 式 最 短路 径 优先 (open shortest path first,OSPF) 协 议 。 


2. 路 由 器 访问 控制 列表 (ACL) 


ACL 是 Cisco IOS 所 提供 的 一 种 访问 控制 技术 ,初期 仅 在 路 由 器 上 应 用 , 近 些 年 来 已 经 
扩展 到 三 层 交 换 机 ,部 分 最 新 的 二 层 交 换 机 (如 2950) 也 开始 提供 ACL 支持 。 在 其 他 厂商 
的 路 由 器 或 多 层 交 换 机 上 也 提供 类 似 技 术 , 但 名 称 和 配置 方式 可 能 有 细微 的 差别 。 

ACL 技术 在 路 由 器 中 被 广泛 采用 , 它 是 一 种 基于 包 过 滤 的 流 控制 技术 。ACL 在 路 由 
器 上 读 取 第 三 层 及 第 四 层 包头 中 的 信息 (如 源 地 址 、 目 的 地 址 、 源 端口 .目的 端口 等 ) ,根据 预 
先 定义 好 的 规则 对 包 进 行 过 滤 , 从 而 达到 访问 控制 的 目的 。ACL 增加 了 在 路 由 器 接口 上 过 
滤 数 据 包 出 人 的 灵活 性 ,可 以 帮助 管理 员 限 制 网 络 流量 ,也 可 以 控制 用 户 和 设备 对 网 络 的 使 
用 。 它 根据 网 络 中 每 个 数据 包 所 包含 的 信息 内 容 决定 是 否 允 许 该 信息 包 通过 接口 。 

ACL 有 标准 ACL 和 扩展 ACL 两 种 。 标 准 ACL 把 源 地 址 、 目 的 地 址 及 端口 号 作为 数 
据 包 检查 的 基本 元 素 , 并 规定 符合 条 件 的 数据 包 是 否 允 许 通 过 ,其 使 用 的 局 限 性 大 ,其 序列 
号 范围 是 1~99。 扩 展 ACL 能 够 检查 可 被 路 由 的 数据 包 的 源 地 址 和 目的 地 址 ,同时 还 可 
以 检查 指定 的 协议 、 端 口号 和 其 他 参数 ,具有 配置 灵活 、 精 确 控制 的 特点 ,其 序列 号 范围 
是 100 一 199。 

这 两 种 类 型 的 ACL 都 可 以 基于 序列 号 和 命名 进行 配置 。 最 好 使 用 命名 方法 配置 


ACL, 这 样 对 以 后 的 修改 是 很 方便 的 。 配 置 ACL 要 注意 两 点 : 一 是 ACL 只 能 过 滤 流 经 路 
由 器 的 流量 ,对 路 由 器 自身 发 出 的 数据 包 不 起 作用 ; 二 是 一 个 ACL 中 至 少 有 一 条 允许 
语句 。 


ACL 的 主要 作用 就 是 一 方面 保护 网 络 资源 ,阻止 非法 用 户 对 资源 的 访问 ; 另 一 方面 限 
制 特定 用 户 所 能 具备 的 访问 权限 。 它 通常 应 用 在 企业 内 部 网 的 出 口 控制 上 ,通过 实施 
ACL, 可 以 有 效 地 部 署 企业 内 部 网 的 出 口 策 略 。 随 着 企业 内 部 网 资源 的 增加 ,一 些 企业 已 
开始 使 用 ACL 控制 对 企业 内 部 网 资源 的 访问 ,进而 保障 这 些 资源 的 安全 性 。 


2.2.2 虚拟 路 由 器 元 余 协 议 
1. VRRP 协议 


在 建立 一 个 网 络 时 ,为 了 保证 网 络 稳定 可 靠 地 运行 ,经 常 采用 一 些 动态 路 由 协议 ,如 
OSPF RIP 等 。 这 些 路 由 协议 可 以 自动 绕 开 很 多 网 络 故障 (如 路 由 器 Down 机 ) ,但 很 多 时 
候 可 能 无 法 使 用 这 些 高 端的 路 由 协议 。 比 如 ,用 户 端 要 配置 OSPF、RIP 协议 必须 有 上 游 
ISP 供应 商 的 支持 ,但 很 多 ISP 供应 商 是 不 提供 这 种 服务 的 ,他 们 只 提供 静态 路 由 。 虚 拟 路 
由 器 宛 余 协议 (virtual router redundancy protocol, VRRP) 可 以 完成 这 些 工作 。 

VRRP 是 一 种 选择 协议 , 它 可 以 把 一 个 虚拟 路 由 器 的 责任 动态 分 配 到 局 域 网 上 的 
VRRP 路 由 器 中 。 使 用 VRRP. 可 以 通过 手动 或 DHCP 设 定 一 个 虚拟 IP 地 址 作为 默认 路 
由 器 。 虚 拟 IP 地 址 在 路 由 器 间 共 享 ,控制 虚拟 路 由 器 IP 地 址 的 VRRP 路 由 器 称 为 主 路 由 
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器 ,其 他 的 则 为 备份 路 由 器 。 主 路 由 器 负责 转发 数据 包 到 这 些 虚拟 IP 地 址 。 如 果 主 路 由 器 
不 可 用 ,这 个 虚拟 IP 地 址 就 会 映射 到 一 个 备份 路 由 器 的 IP 地 址 (该 备份 路 由 器 就 成 为 主 路 
由 器 )。 使 用 VRRP 的 好 处 是 有 更 高 的 默认 路 径 的 可 用 性 而 无 须 在 每 个 终端 主机 上 配置 动 
态 路 由 或 路 由 发 现 协议 。 另 外 ,如 果 用 户 端 有 两 条 以 上 的 Internet 线路 ,VRRP 也 可 对 它们 
进行 负载 均衡 和 路 由 器 备份 。 为 了 保证 网 络 的 不 间断 、 稳 定 的 运行 ,VRRP 是 一 个 最 好 的 
选择 。VRRP 是 IPv4 和 IPv6 的 一 部 分 。 

VRRP 是 一 种 容错 协议 , 它 为 具有 多 播 或 广播 能 力 的 局 域 网 (如 以 太 网 ) 而 设计 。 
VRRP 将 局 域 网 的 一 组 路 由 器 (包括 一 个 主 路 由 器 和 若干 个 备份 路 由 器 ) 组 织 成 一 个 虚拟 
路 由 器 , 称 为 一 个 备份 组 。 

这 个 虚拟 路 由 器 拥有 自己 的 IP 地 址 10. 100. 10. 1, 备 份 组 内 的 路 由 器 也 有 自己 的 IP 
地 址 (如 Master 的 IP 地 址 为 10. 100. 10. 2,Backup 的 IP 地 址 为 10. 100. 10. 3) 。 局 域 网 内 
的 主机 仅仅 知道 这 个 虚拟 路 由 器 的 IP 地 址 10. 100. 10. 1 ,而 并 不 知道 具体 的 Master 路 由 
器 的 IP 地 址 10. 100. 10.2 以 及 Backup 路 由 器 的 IP 地址 10. 100. 10. 3 ,它们 将 自己 的 默认 
路 由 下 一 跳 地 址 设置 为 该 虚拟 路 由 器 的 IP 地 址 10. 100. 10. 1。 于 是 ,网 络 内 的 主机 就 通过 
这 个 虚拟 的 路 由 器 来 与 其 他 网 络 进行 通信 。 如 果 备 份 组 内 的 Master 路 由 器 坏 掉 , Backup 
路 由 器 将 会 通过 选举 策略 成 为 一 个 新 的 主 路 由 器 ,继续 向 网 络 内 的 主机 提供 路 由 服务 ,从 而 
实现 网 络 内 的 主机 不 间断 地 与 外 部 网 络 进行 通信 。 

在 VRRP 路 由 器 组 中 , 按 优先 级 选举 主 路 由 器 ,VRRP 协议 中 优先 级 范围 是 0 一 255。 
若 VRRP 路 由 器 的 IP 地 址 和 虚拟 路 由 器 的 接口 IP 地 址 相同 , 则 把 该 虚拟 路 由 器 称 作 
VRRP 组 中 的 IP 地 址 所 有 者 ; IP 地 址 所 有 者 自动 具有 最 高 优先 级 255。 优 先 级 0 一 般 在 
IP 地 址 所 有 者 主动 放弃 主 控 者 角色 时 使 用 。 可 配置 的 优先 级 范围 为 1 一 254。 因 此 ,如 果 在 
VRRP 组 中 有 IP 地 址 所 有 者 , 则 它 总 是 作为 主 控 路 由 的 角色 出 现 。 

为 了 保证 VRRP 协议 的 安全 性 ,提供 了 明文 认证 和 IP 头 认证 两 种 安全 认证 措施 。 明 
文 认证 方式 要 求 在 加 入 一 个 VRRP 路 由 器 组 时 ,必须 同时 提供 相同 的 VRID 和 明文 密码 。 
IP 头 认证 方式 提供 了 更 高 的 安全 性 ,能 够 防止 报 文 重 放 和 修改 等 攻击 。 


2. Linux 下 的 VRRP 组 件 


在 Linux 操作 系统 下 可 以 实现 非常 稳定 的 VRRP 功能 ,实现 该 功能 的 软件 是 
Keepalived。Keepalived 起 初 是 为 LVS(Linux Virtual Server, Linux 下 的 服务 器 负载 均衡 
系统 ) 设 计 的 ,专门 用 来 监控 服务 器 的 状态 ,后 来 加 入 了 VRRP 的 功能 。Keepalived 的 
VRRP 功能 是 从 Linux 中 VRRPD 发 展 而 来 的 。 


3. Keepalived 的 安装 


安装 Keepalived 需要 先 安装 openssl 和 popt 两 个 组 件 。 

(1) openssl 的 安装 

如 果 系 统 已 经 有 了 openssl, 且 在 /usr/include 目录 下 有 openssl 的 目录 ,那么 openssl 
就 不 需要 安装 了 ,否则 需要 安装 。 


tar zxvf openssl — 0.9.7d. tar.gz 
cd openssl -0.9.7d 
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configure 
make 
make test 
make install 


openssl 安装 后 ,再 将 其 include 目录 复制 到 /usr/include: 
cp —r /usr/local/ssl/include/openssl /usr/include(T115) 
(2) popt 的 安装 


tar zxvf popt ~ 1.7.tar.gz 

cd popt 一 1.7 

./configure 

Make 

make install 

(3) 编译 Linux 内 核 

在 安装 Keepalived 之 前 ,还 需要 重新 编译 Linux 的 内 核 。 将 Netlink、Linux Virtual 
Server 和 组 播 功 能 的 选项 编译 进 新 内 核 ,如 图 2.2 所 示 。 


hg OPCY 


r Configuration 


图 2.2 Keepalived 的 安装 
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(4) 安装 Keepalived 


tar zxvf keepalived— 1.1.7.tar.gz 

cd keepalived 一 1.1.7 

./configure — prefix = /usr/local/keepalived 
Make 

make install 


通过 Keepalived 在 Linux 操作 系统 的 安装 ,就 可 以 实现 稳定 的 VRRP 功能 。 
2.2.3 路 由 器 安全 配置 与 应 用 实践 


1. 路 由 器 的 自身 安全 


(1) 用 户口 令 安全 

路 由 器 有 普通 用 户 和 特权 用 户 之 分 ,口令 级 别 有 十 多 种 。 如 果 使 用 明码 在 浏览 或 修改 
配置 时 容易 被 其 他 无 关 人 员 罕 视 到 。 可 在 全 局 配置 模式 下 使 用 命令 

Service password - encryption 
进行 配置 ,该 命令 可 将 明文 密码 变 为 密 文 密码 ,保证 用 户口 令 的 安全 。 该 命令 具有 不 可 逆 
性 , 即 它 可 将 明文 密码 变 为 密 文 密码 ,但 不 能 将 密 文 密码 变 为 明文 密码 。 

(2) 配置 登录 安全 

路 由 器 的 配置 一 般 有 控制 口 (console) 配 置 、Telnet 配置 和 SNMP 配置 3 种 方法 。 控 制 
口 配置 主要 用 于 初始 配置 ,使 用 中 英文 终端 或 Windows 的 超级 终端 ， Telnet 配置 方法 一 般 
用 于 远程 配置 ,但 由 于 Telnet 是 明文 传输 的 ,很 可 能 被 非法 窃听 而 泄露 路 由 器 的 特权 密码 ， 
影响 安全 ; SNMP 的 配置 则 比较 麻烦 , 故 使 用 较 少 。 

为 了 保证 使 用 Telnet 配置 路 由 器 的 安全 ,网 络 管理 员 可 以 采用 相应 技术 措施 , 仅 让 路 
由 器 管理 员 的 工作 站 登录 而 不 让 其 他 机 器 登录 到 路 由 器 ,以 保证 路 由 器 配置 的 安全 。 

使 用 IP 标准 访问 列表 控制 语句 ,在 Cisco 路 由 器 的 全 局 配置 模式 下 输入 : 


#access - list 20 permit host 192.120.12.20 


该 命令 表示 只 人 允许 卫 为 192. 120. 12. 20 的 主机 登录 到 路 由 器 。 为 了 保证 192. 120. 12. 20 
这 一 IP 地 址 不 被 其 他 机 器 假冒 ,可 以 在 全 局 配置 模式 下 输入 : 


#arp 192.120. 12. 20 woocx. oocx. ox arpa 


该 命令 可 把 该 IP 地 址 与 其 网 卡 物理 地 址 绑 定 ,xxxx. xxxx. xxxx 为 机 器 的 网 卡 物理 地 
址 。 这 样 就 可 以 保证 在 用 Telnet 配置 路 由 器 时 不 会 泄露 路 由 器 的 口令 。 


2. 路 由 器 访问 控制 的 安全 策略 


在 利用 路 由 器 进行 访问 控制 时 可 考虑 如 下 安全 策略 。 

(1) 严格 控制 可 以 访问 路 由 器 的 管理 员 。 对 路 由 器 的 任何 一 次 维护 都 需要 记录 备案 ， 
要 有 完备 的 路 由 器 的 安全 访问 和 维护 记录 日 志 。 

(2) 建议 不 要 远程 访问 路 由 器 。 即 使 需要 远程 访问 路 由 器 ,应 使 用 访问 控制 列表 和 高 
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强度 的 密码 控制 。 

(3) 要 严格 地 为 IOS(Cisco 网 际 操作 系统 ) 作 安全 备份 ,及 时 升级 和 修补 IOS 软件 ,并 
迅速 为 IOS 安装 补丁 。 

(4) 要 为 路 由 器 的 配置 文件 作 安全 备份 。 

(5) 为 路 由 器 配备 UPS 设备 ,或 者 至 少 要 有 人 宛 余 电源 。 

(6) 为 进入 特权 模式 设置 强壮 的 密码 ,可 采用 enable secret( 不 要 采用 enable password) 命 
令 进行 设置 ,并 且 启 用 Service password-encryption ,操作 如 下 : 


Router(config) # service password — encryption 
Router(config) # enable secret 


(7) 严格 控制 CON 端口 的 访问 。 具 体 的 措施 如 下 。 

@ 打开 机 箱 , 切 断 与 CON 口 互 连 的 物理 线路 。 

@ 改变 默认 的 连接 属性 ,例如 修改 波 特 率 (默认 是 96 000, 可 以 改 为 其 他 值 )。 
@ 给 CON 口 设置 高 强度 的 密码 。 

@ 配合 使 用 ACL 控制 对 CON 口 的 访问 ,可 进行 如 下 操作 。 
Router(Config) #Access— list 1 permit 192.168.0.1 
Router(Config) #1ine con 0 

Router(Config— line)#Transport input none 

Router(Config— line) # Login local 

Router(Config- line) # Exec 一 timeout 5 0 

Router(Config— line)#access—- class 1 in 

Router(Config— line) # end 


(8) 如 果 不 使 用 AUX 端口 , 则 应 禁止 该 端口 ,使 用 如 下 命令 即 可 (默认 情况 下 是 未 被 
启用 ) 。 
Router(config) #1ine aux 0 


Router(config— line)# transport input none 
Router(config— line)# no exec 


(9) 若 要 对 权限 进行 分 级 ,采用 权限 分 级 策略 ,可 进行 如 下 操作 。 


Router(Config) # username test privilege 10 xox 
Router(Config) # privilege EXEC level 10 telnet 
Router(Config) # privilege EXEC level 10 show ip access— list 


3. 路 由 协议 的 安全 配置 


只 有 保证 路 由 协议 的 有 效 性 和 正确 性 ,路 由 器 才能 正常 工作 。 比 较 常 用 的 路 由 协议 有 
距离 向 量 协议 RIP、 开 放 式 最 短路 径 优先 协议 OSPF 和 增强 内 部 网 关 选 择 协 议 EIGRP 
(enhancd interior gateway routing protocol) 。 为 保证 路 由 协议 的 正常 运行 ,网 络 管理 员 在 
配置 路 由 器 时 要 使 用 协议 认证 。 认 证 和 有 具体 操作 如 下 。 

(1) RIP 路 由 协议 验证 

假设 串 行 口 Serial 1 运行 RIP 协议 .并 且 需 要 RIP 验证 。 那 么 在 全 局 配置 模式 下 输入 : 
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# key chain rip - test(rip- test 是 关键 链 名 ) 

# key1 

# key string password (password 是 认证 字符 串 , 任 取 ) 

# router rip validate - update — source 

# inter serial 1 

# ip rip authentication key— chain rip— testip rip authentication mode md5 


要 说 明 的 是 ,在 所 运行 RIP 协议 的 接口 上 才 需 要 进行 验证 ,并 且 运 行 RIP 协议 双方 的 
路 由 器 都 要 有 相同 的 配置 ,否则 RIP 路 由 信息 不 能 够 很 好 地 交换 。 

(2) OSPF 路 由 协议 验证 

OSPF 有 三 种 认证 方法 ,简单 口令 认证 ,MD5 认证 和 Null 认证 。 在 默认 时 OSPF 使 用 
Null 认证 ,也 就 是 路 由 交换 不 通过 认证 。 

Oa 简单 口令 认证 。 

在 全 局 配置 模式 下 输入 : 


# ip ospf authentication 一 key 0 password 
# router ospf 100 

# area 0.0.0.0 authentication 

@ MD5 认证 。 

在 全 局 配置 模式 下 输入 : 


# ip ospf message — digest — key 10 md5 password 
# router ospf 100 
# area 0 authentication message — digest 


要 说 明 的 是 ,在 运行 OSPF 协议 的 接口 上 才 需 要 进行 验证 ,并 且 运 行 OSPF 协议 双方 的 
路 由 器 都 要 有 相同 的 配置 ,否则 OSPF 路 由 信息 不 能 很 好 地 交换 。 

(3) EIGRP 路 由 协议 的 验证 

EIGRP 协议 仅仅 支持 MD5 认证 。 认 证 的 配置 有 3 个 步骤 : 一 是 在 端口 配置 模式 使 
MD5 认证 模式 生效 ; 二 是 密 钥 链 要 一 致 ; 三 是 给 密 钥 链 配置 密 钥 。 

定义 密 钥 链 和 密 钥 命令 如 下 : 

# key chain mykey 

# key 1 

# key— string xxx 

# accept — lifetime 01: 00: 00 sep 9 199 infinite 

# send— lifetime 01: 00: 00 sep 9 199 infinite 


在 端口 配置 模式 使 MD5 认证 模式 生效 命令 如 下 : 


# interface serial0.101 point - to— point 

# ip address xxxx xxxx 

# ip authentication mode eigrp 7 md5 

# ip authentication key— chain eigrp 7 mykey 

(4) 简单 网 管 协议 SNMP 的 安全 

由 于 SNMP 配置 使 用 起 来 比较 麻烦 ,一 般 使 用 较 少 。 如 果 使 用 SNMP 协议 ,对 于 其 
public 和 private 的 验证 字 一 定 要 设置 好 。 尤 其 是 private 的 验证 字 ,一 定 要 是 安全 的 、 不 易 
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猜测 的 ,因为 知道 了 它 的 验证 字 ,就 可 以 通过 SNMP 改变 路 由 器 的 设置 。 
4. 路 由 器 的 网 络 安全 配置 


路 由 器 除 具 有 基本 的 路 由 功能 以 外 ,还 有 很 多 安全 保护 功能 ,用 户 要 充分 发 挥 路 由 器 内 
在 的 安全 性 功能 ,更 好 地 保护 好 网 络 安全 。 

(1) 物理 结构 的 布局 

如 果 路 由 器 有 一 个 以 上 的 局 域 网 端口 ,或 几 台 路 由 器 并 行使 用 ,可 以 根据 访问 性 质 进行 
分 类 。 比 如 将 供 外 部 访问 WWW 服务 器 .FTP 服务 器 和 E-mail 服务 器 集中 放 在 一 个 端口 
上 ,将 企业 内 部 的 WWW 服务 器 .FTP 服务 器 和 数据 库 服务 器 放 在 路 由 器 的 其 他 端口 上 。 
这 样 便于 对 端口 访问 进行 控制 ,对 安全 十 分 有 利 。 即 使 黑客 攻破 了 企业 供 外 部 访问 的 服 
务 器 ,由 于 企业 的 其 他 机 器 和 这 些 服务 器 不 在 同一 个 广播 域 ,信息 被 窃听 的 可 能 性 极 低 。 

(2) 路 由 器 的 简单 防火 墙 功能 

目前 ,常用 的 路 由 器 一 般 都 有 访问 控制 列表 ACL(access list) , 即 包 过 滤 防 火 墙 功能 。 
访问 列表 可 用 于 入 口 (inbound) ,也 可 用 于 出 口 (outbound)。 它 可 对 源 IP 地 址 和 目的 IP 地 
址 以 及 协议 端口 号 进行 过 滤 ,用 它 可 以 控制 哪些 网 络 可 以 访问 什么 服务 器 资源 。 使 用 ACL 
一 般 有 创建 一 个 路 由 表 指定 接口 和 定义 方向 3 个 步骤 。 下 面 是 一 个 配置 实例 。 

# interface serial 0( 指 定 串 口 0) 

# access - group 101 in( 定 义 接口 产生 的 过 滤 方 向 ) 

# access - list 101 deny ICMP any host 192.168.1.10 eq 8( 阻 止 以 ICMP 回 波 请 求 的 形式 产生 Ping, 

防止 对 主机 IP 地 址 的 恶意 窥视 . ICMP 回 波 请 求 信息 属于 ICMP 类 型 8) 


# access 一 list 101 permit ip any host 192.168.1.10( 人 允许 所 有 其 他 IP 流向 主机 ) 
# access- list 101 deny ip any (拒绝 所 有 不 需要 的 访问 ) 


5. 禁止 路 由 器 的 部 分 网 络 服 务 的 安全 配置 


(1) 禁止 Finger 服务 

禁止 Finger 服务 的 命令 如 下 : 
Router(config)# no ip finger 
Router(config)# no service finger 

(2) 禁止 TCP、UDP Small 服务 

禁止 TCP、UDP Small 服务 的 命令 如 下 : 


Router(config)# no service tcp— small — servers 
Router(config)# no service udp— small — servers 


(3) 建议 禁止 HTTP 服务 
禁止 HTTP 服务 的 命令 为 : 


Router(config) # no ip http server 

如 果 启 用 了 HTTP 服务 则 需要 对 其 进行 安全 配置 ,比如 设置 用 户 名 和 密码 和 采用 访问 
列表 进行 控制 。 

(4) 禁止 IP Source Routing 
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禁止 IP Source Routing 的 命令 为 : 
Router(config)# no ip source— route 


(5) 禁止 ARP-Proxy 服务 

如 果 不 需要 ARP-Proxy 服务 , 则 建议 禁止 它 (路 由 器 的 默认 状态 是 开启 的 ), 其 命令 
如 下 : 

Router(config)# no ip proxy 一 arp 

Router(config— if)# no ip proxy -arp 

(6) 禁止 IP Directed Broadcast 

禁止 IP Directed Broadcast 的 命令 为 : 


Router(config)# no ip directed - broadcast 


(7) 禁止 IP Classless 
禁止 IP Classless 的 命令 为 : 


Router(config)# no ip classless 


(8) 禁止 ICMP 协议 的 IP Unreachables\IP Redirects 和 IP Mask Replies 
禁止 ICMP 协议 的 IP Unreachables、IP Redirects 和 IP Mask Replies 的 命令 如 下 : 
Router(config)# no ip unreachables 


Router(config)# no ip Redirects 
Router(config)# no ip Mask Replies 


6. 路 由 器 实现 多 设备 控制 端口 访问 的 配置 


如 果 有 一 台 Cisco 路 由 器 加 上 异步 模块 或 是 一 台 具 有 内 建 异步 串口 的 路 由 器 ,用 户 就 
可 以 在 一 个 工作 间或 数据 中 心里 全 面 实现 对 多 个 网 络 设备 的 控制 连接 。 

对 数据 中 心 网 络 间 的 一 台 Cisco 2511 路 由 器 开始 设置 。 当 用 户 需 要 连接 到 网 络 设备 的 
控制 端口 时 ,可 以 Telnet 到 控制 台 服 务 器 ,然后 再 Telnet 到 用 户 希 望 进行 连接 的 设备 ,或 者 
直接 Telnet 到 设备 控制 端口 。 

用 户 可 以 采用 更 加 先进 的 设备 ,如 Cisco 2610、3620、3640 或 3800 系列 路 由 器 来 完成 上 
述 工作 。 

(1) 开始 配置 

先 用 Cisco 2511 路 由 器 的 一 个 异步 串 行 端口 连接 到 用 户 的 网 络 核心 交换 机 、 路 由 器 和 
防火 墙 的 每 一 个 端口 (这 些 设备 各 自 同样 需要 具备 串 行 控 制 口 ); 然后 再 按照 以 下 ip host 
命令 对 新 的 Cisco 终端 服务 器 进行 配置 ,以 便 使 每 个 设备 的 连接 变 得 简单 : 

ip host internet 2016 10.253.100.19 

ip host gig_switch3 2015 10.253.100.19 

ip host dmz_switch 2013 10.253.100.19 

上 述 每 一 命令 行 的 第 三 部 分 是 设备 端口 号 ,其 最 后 两 个 数字 指定 端口 号 。 如 第 一 台 路 
由 器 (internet) 后面 的 “2016? 表 示 该 路 由 器 是 在 16 号 端口 上 。 命 令 行 的 最 后 一 部 分 是 控制 
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台 服 务 器 的 以 太 网 端口 IP 地 址 。 

用 户 还 可 以 从 PC 直接 连 到 这 一 设备 。 例 如 ,可 以 从 PC 上 Telnet 到 10. 253. 100. 19 2016 。 
该 命令 指定 Telnet 客户 端 连接 到 2016 端口 而 非 默认 的 Telnet 端口 23。 

(2) 管理 多 个 连接 

在 Telnet 到 控制 台 服务 器 并 连接 到 这 些 设 备 后 ,用 户 需要 知道 如 何 才 能 在 同一 时 间 对 
多 个 连接 进行 管理 。 按 照 如 下 步骤 进行 操作 : 

Oa 在 命令 行 中 输入 主机 名 称 , 即 使 用 一 个 IP 主机 Telnet 到 用 户 配置 过 的 设备 上 ,这 是 


1 号 连接 。 
@ 在 没有 断 开 连 接 的 情况 下 回 到 命令 行 , 按 下 Ctrl 十 Shift 十 6 键 , 然 后 按 下 X 键 ,将 显 
示 控 制 台 服务 器 提示 符 。 


@ 在 这 里 用 户 可 以 通过 从 IP 主机 列表 中 输入 其 主机 名 称 Telnet 到 另 一 设备 ,这 是 2 
号 连接 。 

@ 一 旦 连接 到 该 路 由 器 ,再 次 按 下 Ctrl 十 Shift 十 6 键 ,然后 按 下 X 键 ,将 返回 到 控制 台 
提示 符 。 

@ 输入 show sessions 命令 ,可 列 出 用 户 当 前 的 会 话 。 假 设 用 户 有 两 个 会 话 : 一 个 到 第 
一 台 路 由 器 ,一 个 到 第 二 台 路 由 器 。 如 果 要 取消 其 中 某 个 会 话 ,可 输入 disconnect X, 其 中 
X 为 连接 号 码 (“1? 或 "2”) 。 

@@ 若 要 转 到 某 个 会 话 , 输 入 session number(“1? 或 “2”) 即 可 。 如 果 在 空 命令 行 中 直接 
按 回 车 键 , 可 以 回 到 上 一 个 会 话 


7. 实现 精确 控制 访问 的 路 由 器 配置 


以 Cisco 2509 路 由 器 (IOS 11. 2) 为 例 , 介 绍 使 用 路 由 器 实现 精确 控制 访问 的 配置 。 

(1) 路 由 器 设置 

@ 在 路 由 器 上 指定 可 访问 外 界 的 IP 地 址 

该 步骤 是 通过 设置 路 由 器 上 的 IP 访问 限制 实现 的 ,在 E0 端口 (局 域 网 端口 ) 上 添加 一 
个 访问 列表 (access-list ) ,只 有 指定 了 的 IP 地 址 允许 进入 : 


Router# config terminal 

Router(conf)#ipaccess— list 1 permit 192.168.1.11 0.0.0.0 
Router(conf)#ipaccess— list 1 permit 192.168.1.12 0.0.0.0 
Router(conf)# ipaccess— list 1 permit 192.168.1.19 0.0.0.0 
Router(conf) # int e0 

Router(conf - if)# ip access - group 1 in 

Router(conf — 证 ) # exit 

Router(conf)#exit 

Router# 


然后 ,用 show access-list 命令 查看 : 


Router# show ip access — list 
Standard IP access list 1 
Permit 192.168.1.11 

Permit 192.168.1.12 

Permit 192.168.1.19 


44 4” 网 络 安全 技术 与 应 用 实践 
Ye 


可 见 ,以 上 地 址 已 写 和 访问 列表 ,只 有 这 些 地 址 才能 进入 E0 端口 (局 域 网 端口 ), 从 而 
进一步 访问 外 界 。 

@ 禁止 外 界 访问 内 部 的 Telnet 和 FTP 端口 

在 E0 端口 上 添加 一 个 访问 列表 ,禁止 进入 20、21 和 23 端口 (20 和 21 为 FTP 端口 ,23 
为 Telnet 端口 ) 。 


Router# config terminal 

Router(conf)# ipaccess— list 101 deny tcp any any eq 23 
Router(conf)# ipaccess— list 101 deny tcp any any eq 20 
Router(conf)#ipaccess— list 101 deny tcp any any eq 21 
Router(conf)#ipaccess— list 101 permit ip any any 
Router(conf)# int e0 

Router(conf - if)# ip access - group 101 out 

Router(conf — if)#exit 

Router(conf ) # exit 

Router# 


用 show ip access-list 命令 查看 : 


Router# show ip access— list 101 
Extended IP access list 101 

Deny tcp any any eq 23 

Deny tcp any any eq 20 

Deny tcp any any eq 21 

Permit ip any any 


@ 防止 授权 IP 地 址 的 盗用 
在 路 由 器 上 建立 一 个 静态 ARP 映射 表 : 


Router# config terminal 

Router(conf)#arp 192.168.1.11 0800.0900.0001 arpa 
Router(conf)#arp 192.168.1.12 0800.0900.0002 arpa 
Router(conf)#arp 192.168.1.19 0800.0900.0009 arpa 
Router(conf ) # exit 

Router# 


在 EXEC 态 下 用 show ip arp 命令 查看 : 


Router# show ip arp 

Protocol Address Age(min) 

Hardware Address Type Interface 

Internet 192.168.1.11 — 0800.0900.0001 ARPA 
Internet 192.168.1.1 — 0010.7bl1. dd9f ARPA Ethernet0 
Internet 192.168.1.12 — 0800.0900.0002 ARPA 
Internet 192.168.1.19 — 0800.0900.0009 ARPA 
Internet 192.168.1.22 9 0000. 0c63.1300 ARPA 

Internet 192.168.1.23 8 0000. 0c36.6965 ARPA 


中 ,“-” 标 记 已 做 了 ARP 静态 映射 的 IP 地 址 ,192. 168. 1. 1 是 路 由 器 E0 口 地 址 。 
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在 做 了 ARP 映射 后 ,假设 内 部 某 一 用 户 次 用 了 192. 168. 0. 11 IP 地 址 ,但 由 于 该 用 
户 机 上 网 卡 的 硬件 地 址 (MAC 地 址 ) 与 ARP 表 中 192. 168. 9. 11 所 映射 的 MAC 地 址 
(0000. abcd. 0009) 不 同 ,虽然 该 机 器 的 IP 地 址 允许 进入 路 由 器 的 E0 端口 ,但 所 有 返回 的 
TCP 包 不 能 正确 到 达 本 机 。 因 此 ,就 达到 了 防止 IP 地 址 被 盗用 的 目的 。 

@ 在 EXEC 命令 态 下 用 copy run start 命令 保存 所 做 的 修改 

至 此 ,Cisco 路 由 器 设置 完成 。 

(2) 工作 站 配置 

局 域 网 中 工作 站 的 设置 相对 简单 ,步骤 如 下 : 

OO 在 菜单 中 选择 “开始 ”一 “设置 "~“ 网 络 连 接 ” 一 “本 地 连接 ”, 单 击 “ 属 性 ”命令 后 进入 
“本 地 连接 属性 ”对 话 框 。 

@ 选 定 “TCP/IP 协议 ”选项 (如 图 2. 3 所 示 ) 双 击 , 或 单 击 “ 属 性 ”按钮 ,弹出 “Internet 
协议 (TCP/IP) 属 性 ”对 话 框 ,如 图 2.4 所 示 。 


利夫 [高 级 | 下 型 
连接 时 使 用 衣 和 人 
此 连接 使 用 下 列 项 目 @Q) 人 自动 获得 I 地 址 Q) 


回 图 出 crosoft 网 络 客户 消 

回 轧 icrosoft 网 络 的 文件 和 打印 机 共享 
回 图 Qos 数据 包 计划 程序 

回 


安装 四 - 仓 载 岂 [ 尿 性 G) 
说 明 
强加 是 默认 的 广域网 协议 。 它 提供 跨越 多 种 互联 网 络 


多 使 用 下 面 的 IP 地 址 (5) 
亚 地 址 加 ) [ICE 
子 网 掩 码 山 255 .255 .255 . 0 
默认 网 关中 ) [is 1 9 1 


目 动 获 宰 DS 服务 器 地 址 中) 


人 句 使 用 下 面 的 DNS 服务 器 地 址 到 ) 


首选 DIS 服务 器 了) : 
备用 DRS 服务 器 内 ): 
Ni 
Cm ]( wh] CJ 
图 2.3 “本 地 连接 属性 ”对 话 框 图 2.4 “Internet 协议 (TCP/IP) 属 性 ”对 话 框 


@ 选 定 “ 使 用 下 面 的 IP 地 址 ”选项 ,在 “IP 地 址 ”和 “ 子 网 掩 码 ” 文 本 框 中 填写 IP 地 址 
(本 例 为 192. 168. 1. 11) 和 子 网 掩 码 (255. 255. 255. 0) 。 

@ 在 上 默认“ 网关” 项 中 ,将 路 由 器 的 E0 地 址 (本 例 为 192. 168. 9. 1) 填 入 ,作为 默认 网 关 。 
这 一 步 对 于 能 访问 外 界 机 器 至 关 重 要 ,因为 在 局 域 网 中 ,路 由 器 是 与 外 界 相连 的 唯一 出 口 。 

@ 选 定 “ 使 用 下 面 的 DNS 服务 器 地 址 ”选项 ,填写 “首选 DNS 服务 器 "和 “备用 DNS 服 
务 器 ”。 

单 击 “ 确 定 ” 按 钮 ,重新 启动 计算 机 。 

至 此 ,完成 了 工作 站 的 设置 。 

经 过 上 述 配 置 之 后 ,局 域 网 内 的 各 个 机 器 之 间 的 访问 是 完全 畅通 的 ,只 有 部 分 授权 的 机 


器 采用 了 指定 IP 地 址 之 后 才能 够 访问 外 界 。 路 由 器 成 为 内 部 网 络 与 外 部 Internet 之 间 的 
唯一 通道 。 


45 


MY 


46 


网 络 安全 技术 与 应 用 实践 


8. 路 由 器 的 其 他 安全 配置 


(1) IP 欺骗 的 简单 防护 

为 防止 对 内 部 网 络 的 IP 欺骗 ,可 过 滤 这 样 一 些 IP 地 址 。 比 如 过 滤 自 己 内 部 网 络 地 址 
(201. 120. 30. 0) .回环 地 址 (127. 0. 0. 0/8) 、RFC1918 私有 地 址 (172. 16. 0.0)、DHCP 自 定 
义 地 址 (169. 254. 0. 0/16)、 某 文档 作者 测试 用 地 址 (192. 0. 2. 0/24)、 不 用 的 组 播 地 址 
(224.0.0.0/4) SUN 公司 的 原 测试 地 址 (20. 20. 20. 0/24; 204. 152. 64. 0/23)、 全 网 络 地 址 
(0.0.0.0/8) 的 操作 如 下 : 


Router(config) # access— list 100 deny ip 201.120.30.0 0.0.0.255 any log 
Router(config) # access— list 100 deny ip 127.0.0.0 0.255.255.255 any log 
Router(config) # access— list 100 deny ip 172.16.0.0 0.15.255.255 any log 
Router(config) # access— list 100 deny ip 169.254.0.0 0.0.255.255 any log 
Router(config)# access— list 100 deny ip 192.0.2.0 0.0.0.255 any log 
Router(config)# access— list 100 deny ip 224.0.0.0 15.255.255.255 any log 
Router(config)# access— list 100 deny ip 20.20.20.0 0.0.0.255 any log 
Router(config)# access— list 100 deny ip 204.152.64.0 0.0.2.255 any log 
Router(config) # access— list 100 deny ip 0.0.0.0 0.255.255.255 any log 


(2) TCP SYN 的 防范 
通过 访问 列表 防范 TCP SYN 的 命令 如 下 : 


Router(config)# no access— list 106 

Router(config) # access— list 106 permit tcp any 192.168.0.0 0.0.0.255 established 
Router(config)# access— list 106 deny ip any any log 

Router(config) # interface eth 0/2 

Router(config - if)# description "external Ethernet" 

Router(config— if)# ip address 192.168.1.254 255.255.255.0 

Router(config- if)# ip access - group 106 in 


通过 TCP 截获 防范 TCP SYN 的 命令 如 下 : 


Router(config) # ip tcp intercept list 107 

Router(config)# access— list 107 permit tcp any 192.168.0.0 0.0.0.255 
Router(config)# access— list 107 deny ip any any log 

Router(config)# interface eth0 

Router(config)# ip access - group 107 in 


(3) Smurf 进攻 的 防范 

防范 Smurf 进攻 的 命令 如 下 : 

Router(config) # access - list 108 deny ip any host 192.168.1.255 log 
Router(config) # access - list 108 deny ip any host 192.168.1.0 log 
(4) DDoS 攻击 的 防范 

防范 DDoS 攻击 的 命令 如 下 : 

! The Trinoo DDos system 


Router(config) # access— list 113 deny tcp any any eq 27665 log 
Router(config) # access— list 113 deny udp any any eq 31335 log 
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Router(config)# access— list 113 deny udp any any eq 27444 log 

1The Stacheldtraht DDos system 

Router(config)# access— list 113 deny tcp any any eq 16660 log 
Router(config)# access— list 113 deny tcp any any eq 65000 log 

! The TrinityV3 system 

Router(config)# access— list 113 deny tcp any any eq 33270 log 
Router(config)# access— list 113 deny tcp any any eq 39168 log 

! The Subseven DDos system and some Variants 

Router(config)# access— list 113 deny tcp any any range 6711 6712 log 


@.3 交换 机 安全 与 应 用 实践 


2.3.1 交换 机 安全 


交换 机 是 一 种 基于 MAC( 网 卡 的 硬件 地 址 识别 ,能 完成 封装 转发 数据 包 功 能 的 网 络 
设备 。 交 换 机 可 以 “学 习 ”MAC 地 址 ,并 把 其 存放 在 内 部 地 址 表 中 ,通过 在 数据 帧 的 源 发 送 
者 和 目标 接收 者 之 间 建 立 临 时 的 交换 路 径 ,使 数据 帧 由 源 地 址 到 达 目 的 地 址 。 

交换 机 在 内 部 网 中 占有 重要 的 地 位 ,通常 是 整个 网 络 的 核心 所 在 。 在 这 个 黑客 人 侵 成 
风 、 病 毒 肆虐 的 网 络 时 代 ,作为 网 络 核心 的 交换 机 也 理所当然 要 承担 起 网 络 安全 的 一 部 分 责 
任 。 传 统 交换 机 主要 用 于 数据 包 的 快速 转发 ,强调 转发 性 能 。 交 换 机 作为 网 络 环境 中 重要 
的 转发 设备 ,其 原来 的 安全 特性 已 经 无 法 满足 现在 的 安全 需求 ,因此 ,要 求 交 换 机 应 有 专业 
安全 产品 的 性 能 ,安全 交换 机 应 运 而 生 。 在 安全 交换 机 中 集成 了 安全 认证 、ACL、 防 火 墙 、 
入 侵 检测 、 防 攻击 、 防 病毒 等 功能 。 


1. 交换 机 基础 


(1) 交换 机 功能 

传统 以 太 网 交换 机 是 第 二 层 交 换 机 ,第 二 层 交 换 机 是 一 个 可 以 将 发 送 端 地 址 与 接收 端 
地 址 连接 起 来 的 网 络 设备 。 该 设备 根据 数据 帧 中 的 头 信息 ,将 来 自 一 个 或 多 个 输入 端口 的 
帧 送 到 一 个 或 多 个 端口 ,完成 数据 交换 。 交 换 技术 是 作为 对 共享 式 局 域 网 提供 有 效 的 网 段 
划分 解决 方案 而 出 现 的 , 它 可 以 使 每 个 用 户 尽 可 能 地 分 享 到 最 大 带宽 。 交 换 机 工作 在 OSI 
模型 中 的 数据 链 路 层 , 因 此 交换 机 对 数据 包 的 转发 是 建立 在 MAC 地 址 基础 之 上 的 ,对 于 IP 
网 络 协议 来 说 , 它 是 透明 的 , 即 交 换 机 在 转发 数据 包 时 ,不 知道 也 无 须知 道 信 源 机 和 信 宿 机 
的 也 地 址 ,只 需 知 其 物理 地 址 (MAC 地 址 ) 即 可 。 显 然 ,这 种 交换 机 的 最 大 优点 是 数据 交换 
快 。 因 为 它 仅 需要 识别 数据 帧 中 的 MAC 地 址 ,而 直接 根据 MAC 地 址 产生 选择 转发 端口 ， 
算法 又 十 分 简单 。 但 第 二 层 交换 机 虽然 也 能 支持 子 网 的 划分 和 广播 限制 等 基本 功能 ,但 控 
制 能 力 较 小 。 

交换 机 在 操作 过 程 中 会 不 断 地 收集 信息 去 建立 MAC 地 址 表 。MAC 地 址 表 说 明了 某 
个 MAC 地 址 是 在 哪个 端口 上 被 发 现 的 ,所 以 当 交换 机 收 到 一 个 TCP/IP 数据 包 时 ,会 查看 
该 数据 包 的 目的 MAC 地 址 ,然后 核对 自己 的 MAC 地 址 表 以 确认 应 该 从 哪个 端口 把 数据 
包 发 出 去 。 此 功能 由 按 特定 用 户 要 求 和 特定 电子 系统 的 需要 而 设计 、 制 造 的 专用 集成 电路 
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ASIC 完成 ,因此 速度 相当 快 ,一 般 只 需要 几 十 微 秒 , 交 换 机 便 可 决定 一 个 IP 数据 包 该 往 哪 
里 送 。 

当 交 换 机 收 到 一 个 目标 地 址 未 知 的 数据 包 ( 即 MAC 地 址 不 能 在 其 MAC 地 址 表 中 找 
到 ) 时 ,交换 机 会 把 IP 数据 包 从 它 每 一 个 端口 中 送出 去 。 

交换 机 可 看 做 是 一 个 具有 流量 控制 的 网 桥 , 它 由 背 板 、 端 口 ,缓冲 区 ,人 逻辑 控制 单元 和 交 
又 矩阵 等 部 件 组 成 。 

(2) 交换 机 的 地 址 “学 习 ” 

交换 机 能 够 通过 读 取 传 送 包 的 源 MAC 地 址 和 记录 帧 进入 交换 机 的 端口 来 “学 习 ” 网 络 
上 每 个 设备 的 地 址 。 然 后 ,交换 机 把 该 信息 加 到 它 的 转发 数据 库 (MAC 地 址 表 ) 中 。 地 址 
“学 习 ” 是 动态 的 , 即 当 读 取 新 MAC 地 址 时 它们 被 “学 习 ” 并 存储 在 内 容 可 寻 址 存储 器 
(CAM) 中 。 工 作 中 如 果 读 取 到 在 CAM 中 没有 登记 “学 习 ” 的 源 地 址 ,此 MAC 地 址 被 “学 
习 ” 并 存储 到 CAM 中 ,以 备 将 来 使 用 。 

每 次 存储 地 址 时 ,地 址 被 打上 一 个 时 间 标 记 。 如 果 在 一 段 时 间 内 都 没有 被 使 用 过 的 
MAC 地 址 将 从 MAC 列表 中 删除 。 通 过 这 个 时 间 标 记 来 保证 删除 过 时 的 地 址 和 保持 最 新 
的 地 址 。CAM 维护 了 一 个 精确 和 有 用 的 转发 数据 库 , 即 MAC 地 址 表 。 

(3) 交换 机 的 转发 与 过 滤 

当主 机 A 发 一 个 帧 给 主机 也 时 ,由 于 目的 MAC 地 址 (主机 B 的 MAC 地 址 ) 已 在 MAC 
地 址 表 中 存在 对 应 项 , 故 交换 机 会 将 此 帧 直接 发 到 B 所 在 交换 机 的 端口 ,而 不 会 再 将 帧 发 
往 其 他 端口 ,这 样 就 节省 了 其 他 端口 上 的 带宽 ,这 就 是 所 谓 的 转发 与 过 滤 。 

但 是 对 于 广播 和 组 播 , 交 换 机 通常 是 把 广播 帧 或 组 播 帧 向 所 有 端口 转发 ,不 管 MAC 地 
址 表 是 否 完整 。 而 一 个 交换 机 永远 “学 习 ” 不 到 广播 或 组 播 地 址 ,因为 它们 永远 不 会 出 现在 
一 个 帧 的 源 地 址 中 。 所 以 第 二 层 的 交换 机 无 法 控制 广播 域 ,用 交换 机 分 割 的 网 段 虽 然 处 于 
不 同 的 冲突 域 , 但 仍然 处 于 同一 个 广播 域 中 。 因 此 ,需要 第 三 层 设备 (如 第 三 层 交 换 机 、 路 由 
器 ) 来 分 割 广播 域 。 


2. 交换 机 安全 


(1) 安全 交换 机 三 层 含义 

交换 机 最 重要 的 作用 就 是 转发 数据 。 在 黑客 攻击 和 病毒 侵扰 下 ,交换 机 要 能 够 继续 保 
持 其 高 效 的 数据 转发 速率 不 受到 攻击 的 干扰 ,这 就 是 交换 机 所 需 的 最 基本 的 安全 功能 。 同 
时 ,交换 机 作为 整个 网 络 的 核心 ,应 该 能 对 访问 和 存 取 网 络 信 息 的 用 户 进行 区 分 和 权限 控 
制 。 更 重要 的 是 ,交换 机 还 应 该 配合 其 他 网 络 安全 设备 ,对 非 授权 访问 和 网 络 攻 击 进行 监控 
和 阻止 。 

(2) 安全 交换 机 的 新 功能 

@ 802. 1x 安全 认证 

在 传统 的 局 域 网 环境 中 ,只 要 有 物理 的 连接 端口 ,未 经 授权 的 网 络 设备 就 可 以 接 入 局 域 
网 ,或 者 未 经 授权 的 用 户 就 可 以 通过 连接 到 局 域 网 的 设备 进入 网 络 。 这 样 就 造成 了 潜在 的 
安全 威胁 。 另 外 ,在 学 校 和 智能 小 区 的 网 络 中 ,由 于 涉及 网 络 的 计 费 ,所 以 验证 用 户 接 入 的 
合法 性 也 显得 非常 重要 。IEEE 802. 1x 正 是 解决 这 个 问题 的 良 方 ,目前 已 经 被 集成 到 二 层 
智能 交换 机 中 ,完成 对 用 户 的 接 入 安全 审核 。 
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802. 1x 协议 是 基于 端口 的 访问 控制 协议 。 它 能 够 在 利用 IEEE 802 局 域 网 优势 的 基础 
上 提供 一 种 对 连接 到 局 域 网 的 用 户 进行 认证 和 授权 的 手段 ,达到 接受 合法 用 户 接 入 ,保护 网 
络 安全 的 目的 。802. 1x 协议 与 LAN 是 无 颖 融合 的 。802. 1x 利用 了 交换 式 LAN 架构 的 物 
理 特性 ,实现 了 LAN 端口 上 的 设备 认证 。 在 认证 过 程 中 ,LAN 端口 要 么 充当 认证 者 ,要么 
扮演 请 求 者 。 在 作为 认证 者 时 ,LAN 端口 在 需要 用 户 通过 该 端口 接 人 相应 的 服务 之 前 , 首 
先进 行 认证 ,如 若 认证 失败 则 不 允许 接 人 ; 在 作为 请 求 者 时 ,LAN 端口 则 负责 向 认证 服务 
器 提交 接 入 服务 申请 。 基 于 端口 的 MAC 锁定 只 允许 信任 的 MAC 地 址 向 网 络 中 发 送 数 
据 。 来 自任 何 “ 不 信任 ”的 设备 的 数据 流 会 被 自动 丢弃 ,从 而 确保 最 大 限度 的 安全 性 。 

在 802. 1x 协议 中 ,只 有 具备 了 以 下 三 个 元 素 才 能 够 完成 基于 端口 的 访问 控制 的 用 户 认 
证 和 授权 。 

。 客户 端 。 客 户 端 一 般 安装 在 用 户 的 工作 站 上 , 当 用 户 有 上 网 需求 时 ,激活 客户 端 程 
序 ,输入 必要 的 用 户 名 和 口令 ,客户 端 程序 将 会 送出 连接 请 求 。 
认证 系统 。 在 以 太 网 系统 中 认证 系统 就 是 指认 证 交换 机 ,其 主要 作用 是 完成 用 户 认 
证 信息 的 上 传 、 下 达 工 作 , 并 根据 认证 的 结果 打开 或 关闭 端口 。 
认证 服务 器 。 认 证 服务 器 通过 检验 客户 端 发 送 来 的 身份 标识 (用 户 名 和 口令 ) 来 判 
别 用 户 是 否 有 权 使 用 网 络 系统 提供 的 网 络 服务 ,并 根据 认证 结果 向 交换 机 发 出 打开 
或 保持 端口 关闭 的 命令 。 

@ 流量 控制 

安全 交换 机 的 流量 控制 技术 把 流 经 端口 的 异常 流量 限制 在 一 定 的 范围 内 ,避免 交换 机 
的 带宽 被 无 限制 滥用 。 安 全 交换 机 的 流量 控制 功能 能 够 实现 对 异常 流量 的 控制 ,避免 网 络 

@ 防范 DDoS 攻击 

企业 网 一 旦 遭 到 分 布 式 拒绝 服务 (DDoS) 攻 击 ,会 影响 大 量 用 户 的 正常 使 用 ,严重 时 其 
至 造成 网 络 瘫痪 。 安 全 交换 机 采用 专门 技术 来 防范 DDoS 攻击 , 它 可 以 在 不 影响 正常 业务 
的 情况 下 ,智能 地 检测 和 阻止 恶意 流量 ,从 而 防止 网 络 受 到 DDoS 攻击 的 威胁 。 

@ 虚拟 局 域 网 VLAN 

虚拟 局 域 网 是 安全 交换 机 必 不 可 少 的 功能 。VLAN 可 以 在 二 层 或 三 层 交 换 机 上 实现 
有 限 的 广播 域 。 它 可 把 网 络 分 成 一 个 个 独立 的 区 域 ,控制 这 些 区 域 是 否 可 以 通信 。VLAN 
可 能 跨越 一 个 或 多 个 交换 机 ,设备 之 间 好 像 在 同一 个 网 络 间 通 信 一 样 ,与 它们 的 物理 位 置 无 
关 。VLAN 可 在 各 种 形式 上 形成 ,如 端口 .MAC 地址 、IP 地 址 等 。VLAN 限制 了 各 个 不 同 
VLAN 之 间 的 非 授权 访问 ,而 且 可 以 设置 IP 地 址 与 MAC 地 址 绑 定 功能 限制 用 户 非 授 权 访 
问 网 络 。 

@@ 基于 ACL 的 防火 墙 功能 

安全 交换 机 采用 了 访问 控制 列表 (ACL) 来 实现 包 过 滤 防 火 墙 的 安全 功能 ,增强 安全 防 
范 能 力 。ACL 通过 对 网 络 资 源 的 访问 控制 ,确保 网 络 设 备 不 被 非法 访问 或 被 作为 攻击 跳 
板 。ACL 是 一 张 规则 表 .交换 机 按照 顺序 执行 这 些 规则 ,并 且 处 理 每 一 个 进入 端口 的 数据 
包 。 每 条 规则 根据 数据 包 的 属性 (如 源 地 址 .目的 地 址 和 协议 ) 允 许 或 拒绝 数据 包 通 过 。 由 
于 规则 是 按照 一 定 顺 序 处 理 的 ,因此 每 条 规则 的 相对 位 置 对 于 确定 允许 和 不 允许 什么 样 的 
数据 包 通 过 网 络 至 关 重要 。ACL 以 前 只 在 核心 路 由 器 才 有 使 用 。 在 安全 交换 机 中 ,访问 控 
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制 过 滤 措 施 可 以 基于 源 / 目 标 交 换 槽 .端口 . 源 / 目 标 VLAN、 源 /目标 IP、TCP/UDP 端口 、 
ICMP 类 型 或 MAC 地 址 来 实现 。 

IDS 功能 

安全 交换 机 的 人 侵 检测 系统 (IDS) 功 能 可 以 根据 上 报信 息 和 数据 流 内 容 进 行 检测 ,在 
发 现 网 络 安全 事件 时 ,进行 有 针对 性 的 操作 ,并 将 这 些 对 安全 事件 反应 的 动作 发 送 到 交换 机 
上 ,由 交换 机 来 实现 精确 的 端口 断 开 操作 。 实 现 这 种 联动 ,需要 交换 机 支持 认证 、 端 口 镜像 、 
强制 流 分 类 、 进 程 数 控制 .端口 反 向 查询 等 功能 。 

(3) 安全 交换 机 的 配置 

安全 交换 机 的 出 现 ,使 得 网 络 在 交换 机 层次 上 的 安全 能 力 大 大 增强 。 安 全 交换 机 可 以 
配备 在 网 络 的 核心 位 置 上 ,如 Cisco 的 Catalyst 6500 模块 化 的 核心 交换 机 。 这 样 就 可 以 在 
核心 交换 机 上 统一 配置 安全 策略 ,做 到 集中 控制 ,方便 网 络 管理 人 员 的 监控 和 调整 。 

把 安全 交换 机 放 在 网 络 的 接 人 层 或 汇聚 层 是 另外 一 个 选择 。 这 样 配备 安全 交换 机 的 方 
式 的 核心 就 是 把 权力 下 放 到 边缘 ,在 各 个 边缘 就 开始 实施 安全 交换 机 的 性 能 ,把 入 侵 和 攻击 
以 及 可 疑 流量 阻挡 在 边缘 之 外 ,确保 全 网 的 安全 。 这 样 就 需要 在 边缘 配备 安全 交换 机 ,很 多 
厂家 已 经 推出 了 各 种 边缘 或 汇聚 层 使 用 的 安全 交换 机 。 它 们 就 像 一 个 个 堡垒 一 样 ,在 核心 
周围 建立 起 一 道 坚固 的 安全 防线 。 


2.3.2 交换 机 的 安全 配置 实践 


配置 交换 机 使 网 络 对 可 访问 站 点 进行 控制 ,从 而 实现 对 自身 的 保护 。 如 果 用 户 的 工作 
站 是 固定 的 ,那么 往往 可 以 通过 MAC 地 址 与 相同 接 入 层 的 交换 机 端口 连接 。 如 果 工 作 站 
是 移动 的 站 点 ,也 可 以 动态 地 获得 其 MAC 地 址 并 将 该 地 址 加 入 到 一 个 地 址 列表 中 ,以 实现 
与 交换 机 端口 的 连接 。 

端口 安全 (port-secure) 命 令 定义 了 一 个 最 大 值 , 即 在 MAC 地 址 表 中 与 交换 机 端口 相 
联系 的 所 允许 的 最 多 目的 MAC 地 址 。 最 大 计数 值 范围 从 1 一 132 ,默认 值 为 132, 即 最 多 可 
有 132 个 目的 MAC 地 址 。 

用 port-secure 命令 设置 端口 安全 性 后 ,该 端口 所 对 应 的 地 址 出 现在 MAC 地 址 表 中 ， 
不 会 以 动态 类 型 出 现 。 因 为 若 该 端口 对 应 的 静态 MAC 地 址 数 未 达到 最 大 计数 值 , 且 交换 
机 又 从 端口 的 帧 流量 源 地 址 中 学 到 了 新 的 地 址 , 则 将 该 地 址 自动 转变 成 永久 MAC 地 址 存 
入 MAC 地 址 表 中 。 一 旦 永久 或 静态 MAC 地 址 数 达 到 count 值 , 则 不 再 接受 新 的 地 址 ,这 
种 方式 称 为 Sticky-Learns( 记 忆 性 学 习 ) 。 该 方式 解决 了 未 经 允许 而 多 人 共用 一 台 集 线 器 
接 人 交换 机 的 一 个 端口 所 造成 的 不 安全 因素 。 


1. MAC 地 址 表 及 相关 信息 的 设置 


MAC 地 址 表 对 于 交换 机 而 言 如 同 路 由 表 对 于 路 由 器 一 样 。 因 此 ,对 MAC 地 址 表 的 配 
置 也 尤为 重要 。 

(1) 显示 MAC 地 址 表 

MAC 地 址 表 中 的 地 址 由 永久 地 址 、 限 制 性 静态 地 址 和 动态 地 址 三 种 地 址 组 成 。 

在 Switch# show MAC-address-table 命令 中 即 可 看 到 MAC 地 址 表 。 

MAC 地 址 表 由 地 址 、 源 端口 表 、 目 的 端口 和 类 型 组 成 。 
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@ 地址 。 目 的 MAC 地 址 。 

@ 源 端 口 表 。 可 以 向 目的 端口 转发 帧 的 源 端口 集合 。 

@ 目的 端口 。 从 目的 端口 转发 数据 帧 , 即 可 到 达 符 合 目的 MAC 地址 的 主机 。 

@ 类 型 。 动 态 地 址 意味 着 MAC 地 址 表 中 的 地 址 是 通过 学 习 流 入 该 端口 的 数据 帧 的 
帧 头 中 的 源 端 MAC 地 址 得 来 的 ( 即 交 换 机 的 学 习 功 能 )。 该 表 项 必须 被 不 断 更 新 ( 即 有 流 
量 通过 ) ,否则 一 段 时 间 后 该 表 项 被 自动 删除 。 

如 Cisco 1900 交换 机 最 多 可 在 表 中 容纳 1024 个 MAC 地 址 ,一 旦 MAC 地 址 表 被 填 满 ， 
除非 有 表 项 超时 被 自动 删除 ,否则 新 地 址 不 能 加 入 。 

(2) 设置 永久 地 址 

车 设置 了 永久 地 址 的 目的 MAC 地 址 及 其 转发 端口 , 则 该 地 址 永久 不 会 超时 ,所 有 的 端 
口 均 可 以 转发 帧 给 它 。 设 置 命令 如 下 : 

Switch(config) #MRC - address - table permanent[MAC Address][type slot/port] 


(3) 设置 限制 性 静态 地 址 
限制 性 静态 地 址 不 但 继承 了 永久 地 址 的 所 有 特性 ,更 进一步 严格 限制 了 源 端 口 ,安全 性 
得 到 进一步 增强 。 设 置 限制 性 静态 地 址 的 命令 如 下 : 


Switch(config) # MAC - address — table restricted static[MAC address][type slot/port][ source 
interface list] 


(4) 删除 表 项 
如 果 不 需 要 某 条 MAC 地 址 表 项 , 则 可 将 其 删除 ,命令 如 下 : 


Switch# clear MAC - address - table[ dynamic|permanent|restricted] 


2. 配置 交换 机 端口 


(1) 认证 端口 

可 以 给 交换 机 端口 配置 增加 一 个 文本 描述 来 帮助 认证 配置 ,这 个 描述 仅仅 意味 着 一 个 
注释 域 ,作为 端口 使 用 的 一 条 记录 或 者 其 他 唯一 的 信息 。 为 了 给 端口 分 配 一 个 注释 或 描述 ， 
在 接口 配置 模式 下 输入 如 下 命令 : 


Switch(config— if)#description description - string 


执行 接口 配置 命令 no description 时 删除 一 个 注释 或 描述 。 

(2) 端口 速度 

可 以 通过 交换 机 配置 命令 给 交换 机 端口 指定 一 个 特殊 的 速度 ,快速 以 太 网 10/100 端口 
可 以 为 自 协商 模式 ,设置 速度 为 10、100 或 Auto( 默 认 )。 使 用 如 下 命令 可 在 一 个 特殊 的 以 
太 网 端口 上 指定 端口 速度 : 


Switch(config— if)#speed{10 | 100 | auto} 
(3) 端口 模式 


可 以 为 一 个 以 太 网 交换 机 端口 指定 一 个 特殊 的 连接 模式 ,使 端口 在 半 双 工 、 全 双 工 或 自 
协商 模式 下 操作 。 在 接口 配置 模式 下 输入 如 下 命令 可 在 交换 机 端口 上 设置 连接 模式 ， 
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Switch(config- if)#duplex{auto | full | half} 
在 接口 配置 模式 下 执行 description 命令 ,可 配置 描述 信息 。 
在 Cisco 1900 下 的 描述 信息 不 能 使 用 空格 键 ,如 : 


1900(config) # int e0/1 

1900(config - if)#description Cisco VLAN 
1900(config— if)# int f0/26 

1900(config— if)#description trunk— to— building 4 
1900(config -if)# 


在 Cisco 2950 下 的 描述 可 以 使 用 空格 键 ,如 : 

2950(config) # int fa 0/1 

2950(config - if)#description Sales Printer 

2950(config— if)#°2 

可 以 执行 show interface 和 show running-config 命令 来 查看 这 些 描 述 信息 。 
3. 交换 机 口令 的 安全 配置 


通常 ,网 络 设备 应 该 配置 为 对 于 未 被 授权 的 访问 是 安全 的 。Cisco 交换 机 通常 提供 一 


个 简单 安全 的 形式 ,通过 设置 密码 来 限制 注册 到 用 户 接口 的 人 。 交 换 机 有 用 户 模式 和 特权 
模式 两 种 可 用 的 用 户 访问 级 别 。 用 户 模式 是 访问 的 第 一 级 密码 , 它 允 许 访问 基本 的 端口 。 
特权 模式 是 第 二 级 密码 , 它 允 许 设置 或 改变 交换 机 操作 参数 和 配置 。 


(1) 密码 设置 
为 用 户 模式 设置 注册 密码 ,需要 在 全 局 配置 模式 下 输入 下 列 命令 


Switch(config) # line con 0 
Switch(config- line) # password password 
Switch(config— line)# login 
Switch(config—1)#1ine vty0 15 
Switch(config— line) # password password 
Switch(config— line)# login 


登录 密码 (用 户 模式 ) 可 防止 未 授权 用 户 登 录 。 启 用 密码 (特权 模式 ) 可 防止 未 授权 用 户 


修改 配置 。 


对 于 Catalyst 1900 交换 机 ,在 Cisco 1900 下 输入 enable 进入 特权 模式 ,再 输入 configt 


进入 全 局 配置 模式 : 


>en 
#configt 
(config)# 


当 进 入 全 局 配置 模式 后 ,可 使 用 enable password 命令 配置 登录 密码 和 启用 密码 : 


(config) # enable password? 
level Set exec level password 
(config) # enable password level 
<1-15>Level Number 
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level 1 为 登录 密码 ,level 15 为 启用 密码 ,密码 长 度 范 围 是 4 一 8 个 字符 ,如 果 超 过 此 范 
围 , 系 统 则 提示 密码 长 度 无 效 , 如 : 


(config) # enable password level 1 nocoluvsnoko 
Error: Invalid password length. 
Password must be between 4 and 8 characters 


(2) 重 配置 并 验证 


(config) # enable password level 1 noco 
(config) # enable password level 15 noko 
(config) #exit 

#exit 


对 Catalyst 2950 交换 机 的 配置 与 路 由 器 的 配置 有 点 类 似 , 如 : 


Switch > en 

Switch# conft 

Switch(config) #1ine? 
<0-16>First Line number 

console Primary terminal line 

vty Virtual terminal 

Switch(config) #1ine vty? 
<0-15>First Line number 
Switch(config)#1ine vty 0 15 
Switch(config— line) # login 
Switch(config— line) # password noko 
Switch(config— line)#1ine con 0 
Switch(config— line) # login 
Switch(config— line) # password noco 
Switch(config— line) # ex 让 
Switch(config) # exit 

Switch# 


enable secret 比 enable password 更 安全 ,如 果 同 时 设置 了 两 者 , 则 只 有 前 者 起 作用 。 
注意 ,在 Catalyst 1900 交换 机 中 ,enable secret 和 enable password 可 以 设置 成 一 样 的 ,如 : 


(config) # enable secret noko 


Catalyst 2950 交换 机 的 配置 和 路 由 器 类 似 , 但 是 enable secret 和 enable password 不 可 
以 设置 成 一 样 的 ,如 : 


Switch(config) # enable password noko 

Switch(config) # enable secret noko 

The enable secret you have chosen is the same as your enable password. 
This is not recommended. Reenter the enable secret. 

Switch(config) # enable secret noco 

switch(config) # 


4. 交换 机 端口 安全 配置 方案 与 操作 
Cisco 交换 机 提供 了 对 端口 进行 保护 的 功能 ,该 功能 基于 MAC 地 址 控制 对 端口 的 访 
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问 。 要 在 一 个 接 入 层 的 交换 机 (用 户 接 入 的 交换 机 ) 端 口 配置 端口 保护 ,首先 用 下 面 的 接口 
配置 命令 在 端口 上 激活 保护 功能 : 

Switch(config- if)#switchport port — security 

在 各 个 应 用 端口 被 保护 的 接口 ,可 以 用 如 下 接口 配置 命令 规定 被 允许 访问 的 MAC 地 
址 的 最 大 数目 : 

Switch(config— if)#switchport port 一 security maximum max — address 

默认 情况 下 ,各 个 交换 机 端口 仅 允许 一 个 MAC 地 址 对 其 进行 访问 。 可 以 设 定 的 地 址 
数目 范围 是 1 一 1024。 默 认 设置 时 ,使 用 端口 保护 的 接口 是 动态 获得 MAC 地 址 的 。 还 可 以 
在 接口 上 静态 定义 一 个 或 多 个 MAC 地 址 ,这 些 地 址 都 可 以 通过 端口 进行 网 络 的 访问 。 静 
态 地 址 可 以 用 下 面 的 接口 配置 命令 定义 : 

Switch(config - if)#switchport port — security MAC— address MAC — address 


最 后 ,必须 确定 使 用 端口 保护 的 接口 ,在 遇 到 违法 的 MAC 地址 时 可 以 用 如 下 接口 配置 
命令 进行 这 项 设置 : 


Switch(config— if)#switchport port — security violation{ shutdown | restrict | protect} 


违法 是 指 获 得 超过 最 大 数目 的 MAC 地 址 ,或 者 一 个 未 知 的 ( 非 静态 定义 的 )MAC 地 址 
试图 访问 端口 。 

配置 Cisco 交换 机 端口 安全 具体 可 有 3 种 方案 供 选 择 。 方 案 1 和 方案 2 实现 的 功能 类 
似 ,可 在 具体 的 交换 机 端口 上 绑 定 特定 的 主机 的 MAC 地 址 (网 卡 硬件 地 址 ) ,方案 3 是 在 具 
体 的 交换 机 端口 上 同时 绑 定 特定 的 主机 的 MAC 地 址 (网 卡 硬件 地 址 ) 和 IP 地 址 。 

(1) 配置 方案 1 一 一 基于 端口 的 MAC 地 址 绑 定 

现 以 Cisco 2950 交换 机 为 例 进行 配置 。 登 录 进 入 Cisco 交换 机 ,输入 管理 口令 进入 配 
置 模式 ,输入 如 下 命令 : 


Switch# config terminal # 进 入 配置 模式 
Switch(config) Interface fastethernet 0/1 # 进 入 具体 端口 配置 模式 
Switch(config— if)Switchport port - security # 配置 端口 安全 模式 
Switch(config— if )switchport port ~ security MAC— address MAC - address 

# 配置 该 端口 要 绑 定 的 主机 的 MAC 地 址 
Switch(config— if )no switchport port - security MAC— address MAC - address 

# 删 除 绑 定 主机 的 MAC 地 址 


注意 : 以 上 命令 可 使 交换 机 上 某 个 端口 绑 定 一 个 具体 主机 的 MAC 地 址 ,这 样 只 有 该 
主机 可 以 使 用 网 络 , 如 果 对 该 主机 的 网 卡 进 行 了 更 换 或 其 他 PC 想 通过 该 端口 使 用 网 络 都 
是 不 可 行 的 ,除非 删除 或 修改 该 端口 上 绑 定 的 MAC 地 址 。 

以 上 设置 适用 于 Cisco 2950、3550、4500、6500 系列 交换 机 。 

(2) 配置 方案 2 一 一 基于 MAC 地 址 的 扩展 访问 列表 

登录 进入 Cisco 交换 机 ,输入 如 下 命令 : 


Switch(config)Mac access - list extended MAC10 
# 定 义 一 个 MAC 地 址 访问 控制 列表 并 且 命 名 该 列表 为 MAC10 
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Switch(config)permit host 0009. 6bc4. d4bf any 

# 定 义 MAC 地 址 为 0009. 6bc4. d4bf 的 主机 可 以 访问 任意 主机 
Switch(config)permit any host 0009. 6bc4. d4bf 

# 定 义 所 有 主机 可 以 访问 MAC 地 址 为 0009. 6bc4. d4bf 的 主机 
Switch(config- if ) interface Fa0/20 进入 配置 具体 端口 的 模式 
Switch(config- if )mac access - group MAC10 in 

# 在 该 端口 上 应 用 名 为 MAC10 的 访问 列表 
Switch(config)no mac access - list extended MAC10 

# 清 除名 为 MAC10 的 访问 列表 


此 配置 功能 与 方案 1 大 体 相 同 ,但 它 是 基于 端口 的 MAC 地址 访问 控制 列表 限制 ,可 以 
限定 特定 源 MAC 地 址 与 目的 地 址 范围 。 

以 上 配置 功能 在 Cisco 2950、3550、4500、6500 系列 交换 机 上 均 可 实现 ,但 需 注意 的 是 
Cisco 2950、3550 需要 交换 机 运行 增强 的 软件 镜像 (enhanced image)。 

(3) 配置 方案 3 一 一 IP 地址 与 MAC 地 址 绑 定 

将 方案 1 或 方案 2 与 基于 IP 的 访问 控制 列表 组 合 可 实现 IP 地 址 与 MAC 地 址 绑 定 。 


Switch(config)mac access — list extended MAC10 

# 定 义 一 个 MAC 地 址 访问 控制 列表 并 且 命名 该 列表 为 MAC10 
Switch(config)permit host 0009. 6bc4. d4bf any 

# 定 义 MAC 地 址 为 0009.6bc4.d4bf 的 主机 可 以 访问 任意 主机 
Switch(config)permit any host 0009. 6bc4. d4bf 

# 定 义 所 有 主机 可 以 访问 MAC 地 址 为 0009. 6bc4. d4bf 的 主机 
Switch(config)ip access — list extended IP10 

# 定 义 一 个 IP 地 址 访问 控制 列表 并 且 命 名 该 列表 为 IP10 
Switch(config)permit 192.168.0.1 0.0.0.0 any 

# 定 义 IP 地 址 为 192.168.0.1 的 主机 可 以 访问 任意 主机 
Switch(config)permit any 192.168.0.1 0.0.0.0 

# 定 义 所 有 主机 可 以 访问 IP 地 址 为 192.168.0.1 的 主机 
Switch(config— if ) interface Fa0/20 

# 进入 配置 具体 端口 的 模式 
Switch(config— if )mac access — group MAC10 in 

# 在 该 端口 上 应 用 名 为 MAC10 的 访问 列表 ( 即 前 面 定义 的 访问 策略 ) 
Switch(config- if ) ip access - group IP10 in 

# 在 该 端口 上 应 用 名 为 IP10 的 访问 列表 ( 即 前 面 定 义 的 访问 策略 ) 
Switch(config)no mac access - list extended MAC10 in 

# 清 除名 为 MAC10 的 访问 列表 
Switch(config)no ip access - group IP10 in 

# 清 除名 为 IP10 的 访问 列表 


方案 1 是 基于 主机 MAC 地 址 与 交换 机 端口 的 绑 定 ,方案 2 是 基于 MAC 地 址 的 访问 控 
制 列表 。 将 方案 1 或 方案 2 与 IP 访问 控制 列表 结合 起 来 使 用 以 达到 绑 定 IP 与 MAC 地 址 
的 目的 。 


5. 交换 机 端口 与 主机 地 址 的 安全 配置 


最 常用 的 对 端口 安全 的 理解 就 是 可 根据 MAC 地 址 进行 对 网 络 流量 的 控制 和 管理 , 比 
如 MAC 地 址 与 具体 的 端口 绑 定 ,限制 具体 端口 通过 的 MAC 地 址 的 数量 ,或 者 在 具体 的 端 
口 不 允许 某 些 MAC 地 址 的 帧 流量 通过 。 
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(1) MAC 地 址 与 端口 绑 定 

当 发 现 主 机 的 MAC 地 址 与 交换 机 上 指定 的 MAC 地 址 不 同时 ,交换 机 相应 的 端口 将 
关闭 。 当 给 端口 指定 MAC 地 址 时 ,端口 模式 必须 为 access 或 者 trunk 状态 。MAC 地 址 与 
端口 绑 定 的 操作 如 下 : 


3550 一 1#conf t 
3550— 1(config) # int f0/1 
3550—1(config— if)#switchport mode access 
# 指 定 端口 模式 
3550 - 1(config- 证 ) # switchport port— security mac 一 address 00— 90—F5—10—-79—C1l 
# 配 置 MAC 地 址 
3550 - 1(config— if)# switchport port — security maximum 1 
# 限 制 此 端口 允许 通过 的 MAC 地 址 数 为 1 
3550—1(config— if)# switchport port — security violation shutdown 
# 当 发 现 与 上 述 配置 不 符 时 ,将 端口 关闭 


(2) 通过 MAC 地 址 来 限制 端口 流量 
此 配置 允许 一 个 trunk 端口 最 多 通过 100 个 MAC 地 址 ,超过 100 时 ,来 自 新 主机 的 数 
据 帧 将 丢失 。 限 制 端口 流量 的 MAC 地 址 配置 操作 如 下 : 


3550—1#conf t 
3550 - 1(config) # int f0/1 
3550—1(config— if)# switchport trunk encapsulation dotlqg 
3550—1(config— if)# switchport mode trunk 
# 配置 端 口 模式 为 trunk 
3550—1(config— if)# switchport port — security maximum 100 
# 人 允许 此 端口 通过 的 最 大 MAC 地 址 数目 为 100 
3550—1(config— if)# switchport port ~ security violation protect 
# 当 主机 MAC 地 址 数目 超过 100 时 ,交换 机 继续 工作 ,但 来 自 新 的 主机 的 数据 帧 将 丢失 


上 述 配 置 可 根据 MAC 地 址 来 允许 流量 ,如 下 的 配置 则 是 根据 MAC 地 址 来 拒绝 流量 。 


3550—1#conf 七 

3550—1(config) #mac— address— table static 00-90-F5-10-79-Cl vlan 2 drop 
# 在 相应 的 VLAN 丢弃 流量 

3550 一 1# conf 七 

3550 - 1(config) # mac - address - table static 00- 90-EF5-10-79-Clvlan2 int f0/1 
# 在 相应 的 接口 丢弃 流量 


(3) 可 靠 的 MAC 地 址 配置 类 型 

可 靠 的 MAC 地 址 配置 有 如 下 3 种 类 型 。 

a 静态 可 靠 的 MAC 地 址 

在 交换 机 接口 模式 下 手动 配置 ,该 配置 会 被 保存 在 交换 机 MAC 地 址 表 和 运行 配置 文 
件 中 ,交换 机 重新 启动 后 不 丢失 (当然 是 在 保存 配置 完成 后 ) 。 苦 态 可 靠 的 MAC 地 址 的 命 
令 步骤 如 下 : 

Switch# config terminal 


Switch(config) # interface interface— id # 进入 需要 配置 的 端口 
Switch(config- if)# switchport mode Access # 设 置 为 交换 模式 
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Switch(config- if) # switchport port- security 井 打开 端口 安全 模式 

Switch(config- 证 ) # switchport port — security violation {protect | restrict | shutdown } 

上 一 条 命令 是 可 选 的 ,可 以 不 用 配置 ,默认 的 是 shutdown 模式 ,但 是 在 实际 配置 中 推 
荐 使 用 restrict。 


Switch(config— if)# switchport port — security maximum value 


上 一 条 命令 也 是 可 选 的 ,可 以 不 用 配置 ,默认 的 maximum 是 一 个 MAC 地 址 , Cisco 
2950 和 3550 交换 机 的 这 个 最 大 值 是 132。 

@ 动态 可 靠 的 MAC 地 址 

这 是 交换 机 默认 的 类 型 。 在 这 种 类 型 下 ,交换 机 会 动态 学 习 MAC 地 址 ,但 是 该 配置 只 
会 保存 在 MAC 地 址 表 中 ,不 会 保存 在 运行 配置 文件 中 ,并 且 交换 机 重新 启动 后 ,这 些 MAC 
地 址 表 中 的 MAC 地 址 会 被 自动 清除 。 动 态 可 靠 的 MAC 地 址 配置 是 交换 机 默认 的 设置 ， 
这 里 不 再 介绍 其 步骤 。 

@ 黏 性 可 靠 的 MAC 地 址 

这 种 情况 下 可 以 手动 配置 MAC 地 址 和 端口 的 绑 定 ,也 可 以 让 交换 机 自动 学 习 来 绑 定 。 
该 配置 会 被 保存 在 MAC 地 址 中 和 运行 配置 文件 中 。 如 果 保 存 配置 ,交换 机 重启 动 后 不 用 
再 自动 重新 学 习 MAC 地 址 。 黏 性 可 靠 的 MAC 地 址 配置 的 命令 步骤 如 下 : 


Switch# config terminal 

Switch(config) # interface interface— id 

Switch(config- if)# switchport mode Access 

Switch(config— if)#switchport port — security 

Switch(config— if)#switchport port — security violation {protect | restrict | shutdown } 
Switch(config— if)# switchport port ~ security maximum value 


上 面 儿 条 命令 的 解释 与 静态 的 原因 相同 ,不 再 说 明 。 
Switch(config - if)#switchport port ~ security mac — address sticky 
上 一 条 命令 就 说 明 是 配置 为 黏 性 可 靠 的 MAC 地 址 。 

6. 交换 机 访问 控制 的 安全 配置 


作为 网 络 中 应 用 最 为 广泛 的 交换 机 ,要 能 开发 其 安全 特性 ,以 有 效 地 保护 对 网 络 的 访 
问 ,一 些 组 织 和 厂商 也 纷纷 提出 自己 的 安全 策略 。 现 在 通过 多 层 交换 机 特性 来 提高 网 络 的 
安全 性 和 对 带宽 的 控制 已 经 相当 地 普遍 。 随 着 一 些 安全 特性 如 访问 控制 列表 (ACL) 和 
IEEE 802. 1x 标准 已 经 成 为 许多 厂商 产品 的 标准 ,一 些 使 用 者 开始 把 它们 作为 网 络 设施 安 
全 的 一 个 单独 增加 的 层次 。 

ACL 通过 对 网 络 资源 进行 访问 输入 和 输出 控制 ,确保 网 络 设备 不 被 非法 访问 或 被 作为 
攻击 跳板 。ACL 是 一 张 规 则 表 ,交换机 按照 顺序 执行 这 些 规则 ,并 且 处 理 每 一 个 进入 端口 
的 数据 包 。 每 条 规则 根据 数据 包 的 属性 (如 源 地 址 、 目 的 地 址 和 协议 ) 要 么 允许 ,要么 拒绝 数 
据 包 通过 。 由 于 规则 是 按照 一 定 顺 序 处 理 的 ,因此 每 条 规则 的 相对 位 置 对 于 确定 允许 和 不 
允许 什么 样 的 数据 包 通 过 网 络 至 关 重要 。 如 下 操作 (192. 168. 1.2 和 192. 168. 1. 1 分 别 为 
两 个 主机 的 IP 地 址 ) : 
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Switch(config) #access - list 1 permit host 192.168.1.2 
Switch(config) #access— list 1 deny any 

Switch(config) # int vlan 1 

Switch(config— vlan) ip access — group 1 out 
Switch(config- vlan) ip access - group 1 in 
Switch(config) #access 一 list 2 permit host 192.168.1.1 
Switch(config) # access - list 2 deny any 

Switch(config) # int vlan 2 

Switch(config- vlan) ip access — group 2 out 
Switch(config— vlan) ip access - group 2 in 


@.4 服务 器 安全 


在 基于 服务 器 的 网 络 中 ,网 络 服务 器 担负 着 向 客户 机 提供 信息 数据 ` 网 络 存储 、 科 学 计 
算 和 打印 等 共享 资源 和 服务 ,并 负责 协调 管理 这 些 资源 。 由 于 网 络 服务 器 要 同时 为 网 络 上 
所 有 的 用 户 服务 ,因此 ,要 求 网 络 服务 器 具有 高 可 靠 性 、 高 春 吐 能 力 、 大 内 存 容量 和 较 快 的 处 

一 般 选用 高 性 能 计算 机 作为 服务 器 。 从 保证 网 络 稳定 、 可 靠 、 安 全 运行 方面 看 ,服务 器 
涉及 的 技术 较 多 ,常见 的 服务 器 技术 有 多 处 理 器 技术 、 热 择 拔 技术 、 集 群 技术 、ISC 技术 和 
EMP 技术 等 。 


2.4.1 网 络 服务 器 


根据 网 络 的 应 用 和 规模 ,网 络 服 务 器 可 选用 高 档 微机 、 工 作 站 、PC 服务 器 、 小 型 机 、 中 
型 机 和 大 型 机 等 。 根 据 网 络 服务 器 的 不 同 功 能 和 不 同 应 用 ,可 将 服务 器 分 成 不 同类 型 。 

按照 服务 器 用 途 , 服 务 器 可 分 为 文件 服务 器 、 数 据 库 服务 器 、Internet/Intranet 通用 服 
务 器 .应 用 服务 器 等 ,主要 用 于 完成 网 络 不 同 的 功能 。 


1. 文件 服务 器 


计算 机 网 络 诞生 初期 ,最 原始 的 一 种 基本 应 用 模式 是 资源 共享 ,其 功能 体现 在 利用 服务 
器 的 海量 存储 和 优秀 的 吞吐 能 力 ,为 网 络 中 连接 的 工作 站 提供 共享 服务 ,包括 建立 共享 文档 
库 、 共 享 程序 库 , 以 及 建立 在 并 发 控制 和 冲突 控制 基础 上 的 文件 型 数据 服务 等 。 文 件 服务 器 
已 经 拥有 比较 完备 的 磁盘 设备 管理 和 用 户 安全 管理 体系 。 


2. 数据 库 服务 器 


分 布 式 协同 信息 处 理 是 目前 计算 机 网 络 应 用 的 核心 之 一 ,也 是 资源 共享 的 延伸 。 数 据 
库 服务 器 用 于 安装 大 型 数据 库 系统 的 服务 程序 ,如 Oracle、SQL Server 和 Informix 等 ,以 便 
为 各 客户 应 用 提供 所 需 的 数据 。 


3. Internet/Intranet 通用 服务 器 
Internet/Intranet 通用 服务 器 用 于 在 异 构 网 络 环境 下 统一 简化 的 客户 端 平台 和 广域网 
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互通 互 连 基 础 上 的 信息 发 布 . 采 集 、 利 用 和 高 度 资源 共享 ,是 现 阶段 用 户 使 用 最 多 的 网 络 服 
务 应 用 类 型 。 这 类 服务 器 主要 有 Web 服务 器 .电子 邮件 服务 器 .DNS 服务 器 和 目录 服务 
器 等 。 


4. 应 用 服务 器 


应 用 服务 器 用 于 在 通用 服务 器 硬件 平台 上 安装 相应 的 应 用 服务 软件 并 实现 特定 的 功 
能 ,如 数据 中 间 件 服务 器 、 流 式 媒体 点 播 服 务 器 、 电 视 会 议 服务 器 和 打印 服务 器 等 。 


2.4.2 服务 器 的 安全 设置 
1. 服务 器 的 安全 策略 


(1) 对 服务 器 进行 安全 设置 (包括 IIS 的 相关 设置 、 Internet 各 服务 器 的 安全 设置 、 
MySQL 安全 设置 等 ) ,提高 服务 器 应 用 的 安全 性 。 

(2) 进行 日 常 的 安全 检测 (包括 查看 服务 器 状态 ,检查 当 前 进程 情况 、 检 查 系统 账号 、 查 
看 当前 端口 开放 情况 ,检查 系统 服务 、 查 看 相关 日 志 、 检 查 系统 文件 .检查 安全 策略 是 否 更 
改 、 检 查 目 录 权 限 、 检 查 启 动 项 等 ) ,以 保证 服务 器 正常 .可 靠 地 工作 。 

(3) 加 强 服务 器 的 日 常 管理 (包括 服务 器 的 定时 重启 、 安 全 和 性 能 检查 、 数 据 备 份 、 监 
控 、 相 关 日 志 操 作 、 补 丁 修补 和 应 用 程序 更 新 、 隐 患 检查 和 定期 的 管理 密码 更 改 等 )。 

(4) 采取 安全 的 访问 控制 措施 ,保证 服务 器 访问 的 安全 性 。 

(5) 禁用 不 必要 的 服务 ,提高 安全 性 和 系统 效率 。 

(6) 修改 注册 表 ,使 系统 更 强壮 (包括 隐藏 重要 文件 /目录 、 修 改 注 册 表 实 现 完全 隐藏 、 
启动 系统 自 带 的 Internet 连接 防火 墙 、 防 止 SYN 洪水 攻击 .禁止 响应 ICMP 路 由 通告 报 文 、 
防止 ICMP 重 定向 报 文 攻击 ,修改 终端 服务 端口 禁止 IPC 和 建立 空 链 接 、 更 改 TTL 值 . 删 
除 默认 共享 等 )。 

(7) 正确 划分 文件 系统 格式 ,选择 稳定 的 操作 系统 安装 盘 。 

(8) 正确 设置 磁盘 的 安全 性 (包括 系统 盘 权 限 设置 、 网 站 及 虚拟 机 权限 设置 数据 备份 
盘 和 其 他 方面 的 权限 设置 ) 。 


2. 服务 器 的 安全 设置 实践 


(1) 安装 补丁 

经 常 访 问 Microsoft 和 一 些 安全 站 点 ,下载 最 新 的 Service Pack 和 漏洞 补丁 ,是 保障 服 
务 器 安全 的 有 效 方法 。 

安装 好 操作 系统 之 后 ,最 好 能 在 托管 之 前 就 完成 补丁 的 安装 。 配 置 好 网 络 后 ,如 果 是 
Windows 2000 系统 , 则 确定 安装 上 SP4; 如 果 是 Windows 2003 系统 , 则 要 装 上 SP1 或 
SP2 ,然后 启动 WindowsUpdate, 安 装 所 有 的 关键 更 新 。 

(2) 安装 防 病毒 软件 

在 系统 使 用 前 最 好 安装 上 一 款 防 病毒 软件 。 不 论 是 选择 诺顿 .瑞星 金山 .卡巴 斯 基 , 还 
是 别 的 防 病毒 软件 , 随 用 户 的 意愿 。 当 然 , 任 何 防 病毒 软件 都 不 能 查 杀 所 有 的 病毒 (木马 ) , 
如 ASP 木马 的 特征 可 以 通过 一 定 手 段 来 避 开 防 病毒 软件 的 查 杀 , 因 此 ,实际 使 用 中 还 应 配 
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以 其 他 的 安全 手段 。 

(3) 禁止 建立 空 链接 

默认 情况 下 ,任何 用 户 都 可 通过 空 链接 连 上 服务 器 ,进而 猜测 账号 , 枚 举 出 密码 。 可 通 
过 修改 注册 表 来 禁止 建立 空 链 接 。 其 操作 很 简单 , 单 击 “ 开 始 ”>“ 运 行 ”命令 ,输入 regedit， 
确认 后 进入 注册 表 后 ,把 “HKEY _Local_Machine\System\CurrentControlSet\Control\ 
LSA-RestrictAnonymous” 的 键 值 改 成 “1” 即 可 。 

(4) 关闭 不 必要 的 端口 

关闭 端口 意味 着 减少 功能 ,用 户 应 根据 自己 的 实际 应 用 在 安全 和 功能 两 方面 要 求 上 权 
衡 利 商 , 进 行 取舍 。 如 果 服 务 器 安装 在 防火 墙 的 后 面 ,风险 就 会 少 些 。 但 无 论 如 何 开放 的 端 
口 安全 风险 总 是 存在 的 。 用 户 可 用 端口 扫描 器 扫描 系统 已 开放 的 端口 ,确定 系统 开放 的 哪 
些 服务 可 能 引起 黑客 人 侵 。 在 系统 目录 中 的 \system32\drivers\etc\services 文件 中 有 知名 
端口 和 服务 的 对 照 表 可 供 参 考 。 为 了 网 络 服务 器 的 安全 ,可 考虑 关闭 自己 端的 139 端口 、 
445 端口 .3389 端口 4899 端口 等 。 

@ 关闭 139 端口 

139 端口 是 NetBIOS 协议 所 使 用 的 会 话 服务 端口 ,在 安装 了 TCP/IP 协议 的 同时 ， 
NetBIOS 也 会 被 作为 默认 设置 安装 到 系统 中 。 该 端口 的 开放 意味 着 硬盘 可 能 会 在 网 络 中 
共享 ,网 上 黑客 可 通过 NetBIOS 了 解 用 户 计算 机 中 的 一 切 。 在 以 前 的 Windows 版 本 中 ,只 
要 不 安装 Microsoft 网 络 的 文件 和 打印 共享 协议 ,就 可 关闭 139 端口 。 但 在 Windows 
Server 2003 系统 中 ,要 单独 进行 关闭 139 端口 的 操作 才 行 。 关 闭 139 端口 的 具体 步骤 如 下 : 

。 单 击 * 开 始 ”>“ 设 置 ”>“ 网 络 连 接 ”>“ 本 地 连接 ”一 “属性 ”>“Internet 协议 (TCP/IP)” 

命令 ,打开 “本 地 连接 属性 ”窗口 。 
。 去 掉 “Microsoft 网 络 的 文件 和 打印 机 共享 ”前面 的 ”/”, 如 图 2.5 所 示 。 


文件 编辑 E) 查看 Q) 收藏 人 ) 工具 中 
© pa Ex dba 
第 规 | 高 级 | 
中 ji 时 人 用 
本 Realtek RTLS139/810x Fanily Fe 


Ee 
全 辟 本 防火 
| 


ET 属性 名 


相关 主题 


说 明 
多 及 crosoft 网 络 访问 娩 的 计算 机 上 的 


连接 后 在 通知 区 域 显示 图 标 蚀 ) 
此 连接 补 限 制 或 无 连接 时 通知 我 中) 


图 2.5 取消 选中 “Microsoft 网 络 的 文件 和 打印 机 共享 ” 
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。 选中 “Internet 协议 (TCP/IP)? 选 项 ,依次 单 击 * 属 性 ”一 高 级 ”一 “WINS” 命 令 , 选 
中 “禁用 TCP/IP 上 的 NetBIOS? 选 项 , 即 可 完成 任务 ,如 图 2. 6 所 示 。 


理 设置 [ws | WNS | 选项 | 


和 NS 地 址 ( 控 使 用 顾 序 排列 ) 


CT CT 


| 
如 果 启 用 UDSTS 搜索 , 它 将 应 用 于 所 有 启用 TCF/IP 的 连接 。 

| 

| am wosrs sm 
| 


NetHIOS 设置 
OW 


i 
etBTOS。 


© 有 TCP/IP 上 的 NetBI0S 加 


图 2.6 禁用 TCP/IP 上 的 NetBIOS 


@ 通过 注册 表 关闭 445 端口 

445 端口 是 一 把 “ 双 刃 剑 *, 有 了 它 用 户 可 以 在 局 域 网 中 轻松 访问 各 种 共享 文件 夹 或 共 
享 打印 机 ,但 也 正 是 因为 有 了 它 , 黑 客 们 才 有 了 可 乘 之 机 。 它 们 可 通过 该 端口 偷偷 共享 用 户 
的 硬盘 ,甚至 会 在 悄 无 声息 中 将 用 户 的 硬盘 格式 化 掉 。 用 户 要 做 的 就 是 想 办 法 不 让 黑客 有 
机 可 乘 , 封 堵 住 445 端口 漏洞 。 

进入 注册 表 , HKEY_LOCAL_MACHINEA\ System\ CurrentControlSet \ Services\ 
NetBT\ Parameters, 选择“Parameters” 选 项 , 右 击 ,选择 “新 建 > 一 “DWORD 值 ”, 将 
DWORD 值 命名 为 “SMBDeviceEnabled”, 数 值 为 0。 

@ 关闭 3389 端口 

3389 端口 是 Windows 2000/2003 远程 桌面 的 服务 端口 ,可 以 通过 这 个 端口 用 “远程 桌 
面 ?等 工具 来 连接 到 远程 服务 器 。 如 果 连 接 上 远程 服务 器 ,输入 系统 管理 员 的 用 户 名 和 密码 
后 就 会 像 操 作 本 机 一 样 操作 远程 计算 机 ,因此 远程 服务 器 一 般 都 将 该 端口 修改 数值 或 者 关 
闭 。 关 闭 3389 端口 的 过 程 如 下 : 

如 果 是 Windows 2000 Server 系统 , 单 击 “开始 ?一 “程序 ”一 “管理 工具 ”命令 ,选择 
Terminal Services 服务 项 , 单 击 “ 属 性 ”项 将 启动 类 型 改 成 “手动 ”, 并 停止 该 服务 即 可 。 

如 果 是 Windows XP 系统 , 右 击 “ 我 的 电脑 ”选择 “属性 ”选项 , 单 击 “ 远 程 ”, 将 里 面 的 
“远程 协助 "和 “远程 桌面 "两 个 选项 框 里 的 “VV ”去 掉 即 可 ,如 图 2.7 所 示 。 

@ 关闭 4899 端口 

4899 是 一 个 远程 控制 软件 所 开启 的 服务 端 端口 ,由 于 这 些 控制 软件 功能 强大 ,所 以 经 
常 被 黑客 用 来 控制 自己 的 “肉鸡 ”。 而 且 这 类 软件 一 般 不 会 被 杀毒 软件 查 杀 ,对 黑客 来 说 , 它 
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比 后 门 还 要 安全 。4899 不 像 3389 那样 ,是 系统 自 带 的 服务 。 需 要 自己 安装 ,而 且 需 要 将 服 
务 端 上 传 到 入 侵 的 计算 机 并 运行 服务 ,才能 达到 控制 的 目的 。 所 以 只 要 对 用 户 计算 机 进行 
了 基本 安全 配置 ,黑客 是 很 难 通过 4899 来 控制 用 户 的 。 

具体 操作 为 : 单 击 开始” 一 设置 ”一 网 络 连接 ”一 本 地 连接 一 属性 ”Internet 协 
议 (TCP/IP)” 一 “属性 ”一 “高 级 ”一 “选项 ”一 “TCP/IP 筛选 ”一 “属性 ”命令 ,打开 “TCP/IP 


筛选 ”对 话 框 ,添加 需要 的 TCP、UDP 协议 即 可 ,如 图 2.8 所 示 。 


帘 需 [计算 机 名 [硬件 | 高 大 系统 下 原 | 自动 更 新 ] 远程 | CT 本 
选择 可 以 从 另 一 个 位 置 使 用 这 台 计算 机 的 方式 - 
运程 协助 口中 用 7CF/TF 靖 到 所 有 着 也 器) 全 
和 全国 人 全 部 人 许 中 加 全 部 允许 四 © 全 Nf 
ET O 〇 R 允 许 四 ORN 放 WD 〇 RX 许 四 
TCF 端口 UDP 端口 IP 协议 
远程 桌面 
口吃 这 用 户 运程 于 接 到 遇 汗 敌 机 元 ) 
计算 机 全 名 
20090726-1304 
什么 是 运程 点 面 ? 
0. 添加 . 1 
远程 连接 到 此 计算 机 的 用 户 的 用 户 帐 户 必 须 包 合 密码 。 ET 删除 地 了 
inaovs 防火 墙 格 配置 为 允许 远程 点 面 演 接 到 此 计算 机 。 Eee 
图 2.7 Windows XP 系统 的 “远程 ”窗口 图 2.8 “TCP/IP 筛选 "对 话 框 


(5) 关闭 无 用 的 服务 


对 于 个 人 用 户 来 说 ,系统 安装 过 程 中 默认 的 有 些 端口 是 没有 什么 用 途 的 ,应 该 关 掉 这 些 
端口 , 即 关闭 无 用 的 服务 。 管 理 员 还 可 以 把 系统 中 不 必要 的 服务 都 禁止 掉 , 尽 管 这 些 不 一 定 
能 被 攻击 者 利用 得 上 ,但 是 按照 安全 规则 和 标准 看 ,多 余 的 东西 就 没 必 要 开启 ,这样 还 可 减 
少 一 些 隐患 。 对 于 个 人 用 户 , 可 关闭 如 下 不 常用 的 服务 : 


Alerter: 警报 器 ,通知 所 选用 户 和 计算 机 有 关系 统管 理 级 警报 。 
ClipBook: 启用 ”剪贴 筹 查 看 器 ”储存 信息 并 与 远程 计算 机 共享 服务 。 
Computer Browser: 维护 网 络 上 计算 机 的 最 新 列表 及 提供 这 个 列表 。 
Distributed File System: 局 域 网 管理 共享 文件 。 

Distributed Linktracking Client: 用 于 局 域 网 更 新 连接 信息 。 

Error Reporting Service: 发 送 错误 报告 。 

Help and Support: 帮助 和 支持 服务 。 

Indexing Service: 索引 服务 。 

Messenger: 传输 客户 端 和 服务 器 之 间 的 NET SEND 和 和 警报 器 服务 消息 。 
Microsoft Search: 提供 快速 的 单词 搜索 。 

Network DDE: 网 络 动态 数据 交换 。 

PrintSpooler: 如 果 没 有 打印 机 可 禁用 。 

QoS RSVP: 服务 质量 资源 预 留 服务 。 

Remote Registry: 远程 修改 注册 表 。 
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。 Remote Desktop Help Session Manager: 远程 协助 。 

。 Task scheduler: 允许 程序 在 指定 时 间 运 行 。 

关闭 不 常用 服务 的 操作 如 下 : 

单 击 “ 开 始 ”>“ 程 序 ”>“ 管 理工 具 ”>“ 服 务 ” 命 令 ,打开 “服务 ”窗口 ,窗口 中 显示 了 很 多 
服务 (包括 服务 名 称 、 服 务 状态 、 服 务 描述 和 启动 类 型 等 ), 如 图 2.9 所 示 。 选 定 要 关闭 的 服 
务 名 称 并 双击 ,弹出 如 图 2. 10 所 示 的 对 话 框 。 将 启动 类 型 改 为 “已 禁用 ”。 单 击 “ 停 止 ” 按 
钮 ,将 服务 状态 改变 为 “已 停止 ", 再 单 击 “ 确 定 ” 按 钮 ,完成 禁止 该 服务 设置 。 
> = JDIX 
文件 下 ) ”操作 必 ) 查看 帮助 0 


全 二 | 国 | 晖 罩 轨 | 国 困 | 1 于 | 
坊 服 务 往 地 || 名称 / 扩 玉 | 状态 。 启动 类 型 | 性 录 为 加 


坊 TIAPI CD-Burn 用 已 茜 用 本 地 系统 
仿 Indexins Service 本 . 已 禁用 本 地 系统 
纺 IFSEC serviees 管 已 启动 ”自动 本 地 系统 
乱 Logica Disk .， 监 . 手动 本 地 系统 
妨 Ucica Disk ,.， 配 手动 本 地 系统 目 
nn 传 已 禁用 时 
乱 ms Softrare 5 管 手动 本 地 系统 
Slet Logon 党 手动 本 地 系统 
乱 meuneeting Re .， 使 手动 本 地 系统 
纺 Wetwork hcees. .， 允 手动 本 地 系统 
纺 Hetwork Conne .， 管 .， 已 自动 自动 本 地 系统 
Sletwork DIE 为 已 禁用 本 地 系统 
人 Wetwork DDE ISDN 管 已 禁用 本 地 系统 
Network Locat _ 收 动 本 地 系 : 图 | 
A 
一 


Messenger 的 属性 (本 地 计算 机 ) 
第 砚 | 咎 录 [名 复 上 依存 关系 | 
服务 名 称 :Nessenger 


星 示 和 名称) Nessenger 


描述 四) 的 T5520 和 到 
可 执行 文件 的 路 径 0) 
EC: \WINDOWS\system32\svehost. exe ~k netsves 
启动 类 型 E): 已 禁用 辣 
守 澳 
服务 状态 
局 动 @) 停止 四 暂停 中) [了 


当 从 此 处 启动 驰 务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


启动 参数 串 ) 


2.10 禁止 服务 窗口 


再 依次 选择 不 用 的 服务 , 按 上 述 步 又 关 闭 即 可 。 这 样 在 下 次 重启 服务 后 已 进行 关闭 设 
置 的 服务 就 被 禁止 了 。 
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(6) 目录 和 文件 权限 管理 

为 了 控制 好 服务 器 上 用 户 的 权限 ,同时 也 为 了 预防 以 后 可 能 的 入 侵 和 溢出 ,必须 精心 地 
设置 目录 和 文件 的 访问 权限 。Windows 的 访问 权限 一 般 分 为 读 取 、 写 入 、 读 取 及 执行 、 修 
改 、 列 目录 和 完全 控制 。 在 默认 情况 下 ,大 多 数 文件 夹 对 所 有 用 户 (Everyone 组 ) 是 完全 控 
制 的 (FullControl) ,用 户 可 根据 应 用 的 需要 进行 权限 重 设 。 

可 以 采用 如 下 措施 来 管理 目录 和 文件 的 权限 。 

。 将 C 盘 的 所 有 子 目录 和 子 文件 继承 C 盘 的 Administrator( 组 或 用 户 ) 和 SYSTEM 
目录 具有 的 全 部 权限 。 
修改 C:\ProgramFiles\CommonFiles, 开 放 Everyone 默认 的 读 取 及 运行 , 列 出 文件 
目录 和 读 取 权 限 。 

。 开放 Everyone 的 修改 、 读 取 及 运行 , 列 出 文件 目录 , 读 取 和 写 和 人 权限。 

为 防止 非法 访问 ,可 将 cmd. exe 和 net. exe 两 个 文件 的 权限 修改 为 特定 管理 员 才 能 
访问 ,如 : 

cmd. exe root 用 户 所 有 权限 

net. exe root 用 户 所 有 权限 

使 用 comlog 程序 将 com. exe 改名 为 _com. exe, 然 后 替换 com 文件 (可 以 记录 所 有 
执行 的 命令 行 指令 )。 

(7) 不 使 系统 显示 上 次 登录 的 用 户 名 

默认 情况 下 ,终端 服务 接 人 服务 器 时 ,登录 对 话 框 中 会 显示 上 次 登录 的 账户 名 ,本 地 的 
登录 对 话 框 也 是 一 样 。 这 使 得 别人 可 以 很 容易 地 得 到 系统 的 一 些 用 户 名 ,进而 可 进行 密码 
猜测 。 修 改 注册 表 可 以 不 使 对 话 框 显示 上 次 登录 的 用 户 名 。 具 体操 作 过 程 是 : 

单 击 “ 开 始 ” 一 “运行 "命令 ,输入 regedit, 确 认 后 进入 注册 表 , HKEY_LOCAL_MACHINE\ 
Software\ Microsoft \ WindowsNT\ CurrentVersion\ Winlogon \ Dont DisplayLastUserName, 把 
REG_SZ 的 键 值 改 成 1。 

(8) 把 敏感 文件 存放 在 另外 的 文件 服务 器 中 

虽然 现在 服务 器 的 硬盘 容量 都 很 大 ,但 为 了 安全 起 见 , 还 应 考虑 把 一 些 重要 的 用 户 数 据 
(文件 .数据 表 、 项 目 文件 等 ) 存 放 在 另外 一 个 服务 器 中 ,并 且 经 常备 份 它们 。 

(9) NTFS 分 区 安全 

Q@ 使 用 NTFS 格式 分 区 

把 服务 器 的 所 有 分 区 都 改 成 NTFS 格式 。NTFS 文件 系统 要 比 FAT、FAT32 的 文件 
系统 安全 得 多 。 

@ 用 NTFS 数据 流 给 文件 加 密 

Windows XP 用 户 可 利用 NTFS 数据 流 来 给 文件 或 文件 夹 加 密 。 由 于 FAT32 文件 系 
统 格式 不 支持 数据 流 格式 ,所 以 必须 在 NTFS 文件 系统 下 才能 实现 本 次 加 密 。 如 果 硬 盘 分 
区 格式 不 是 NTFS, 可 以 在 命令 模式 下 用 


converntc < 盘 符 :>/FS:NTFS 
命令 进行 转换 。 
第 1 步 : 在 要 加 密 的 文件 或 文件 夹 ( 如 abc) 图 标 上 右 击 , 单 击 * 属 性 ”命令 打开 文件 夹 属 
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性 对 话 框 。 在 “常规 ”选项 中 单 击 “高 级 ”按钮 ,如 图 2. 11 所 示 ,打开 * 高 级 属性 ”对话 框 。 

第 2 步 : 在 该 对 话 框 的 “压缩 或 加 密 属性 ”选项 区 域 中 选择 “加 密 内 容 以 便 保护 数据 " 复 
选 框 ,然后 单 击 “ 确 定 ” 按 钮 , 即 可 完成 文件 或 文件 夹 的 加 密 , 如 图 2. 12 所 示 。 此 时 再 打开 该 
文件 或 文件 夹 ,文件 或 文件 夹 的 内 容 都 已 经 被 隐藏 了 。 


[2 
307 王 (315, 124 字 节 ) 


间 : 320 18 (327, 660 字 节 ) 汪清 二 有 用 于 该 从 
6 个 文件 ，3 个 文件 亚 二 呈 计 SRaskoaamxmdah 


2009 年 8 月 2 日 ，10:01:27 


国 只 恋 员 


回 为 了 tn 过 下 | 服务 扩 币 汉 妇 件 丈 的 家 引 名) 


压缩 或 加 帘 属 性 
口 压缩 内 容 以 便 节省 磁盘 空间 此) 
加 加 密 内 容 以 便 保护 数据 到 ) 详细 信息 中 ) 


EE Cae 


图 2.11 文件 夹 “属性 ”对 话 框 图 2.12 文件 或 文件 夹 的 加 密 


(10) 服务 器 日 常 管理 

服务 器 的 定时 重启 (如 每 台 服 务 器 保证 每 周 重新 启动 一 次 ,重新 启动 之 后 要 进行 复 
查 ,确认 服务 器 已 经 启动 了 ,确认 服务 器 上 的 各 项 服务 均 恢 复 正 常 ) 。 

@ 服务 器 的 安全 、 性 能 检查 (如 每 台 服 务 器 至 少 保证 每 周 登录 两 次 .简单 检查 两 次 ,并 
将 每 次 检查 的 结果 进行 记录 ) 。 

@ 服务 器 的 数据 备份 (如 每 台 服 务 器 至 少 保证 每 月 备份 一 次 系统 数据 ,每 两 周 备份 一 
次 应 用 程序 数据 ,每 月 备份 一 次 用 户 数据 等 ) 。 

@ 服务 器 的 监控 (如 每 天 正常 工作 期 间 必 须 保 证 监视 所 有 服务 器 状态 ,一旦 发 现 服务 
停止 要 及 时 采取 相应 措施 ) 。 

@ 服务 器 的 相关 日 志 操作 (如 每 台 服务 器 保证 每 月 对 相关 日 志 进 行 一 次 清理 ,清理 前 

应 的 各 项 日 志 如 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 等 都 应 选择 “保存 日 志 ”) 。 

服务 器 的 补丁 修补 和 应 用 程序 更 新 (如 使 用 新 出 的 漏洞 补丁 ,在 第 一 时 间 给 每 台 服 
务 器 打上 补丁 进行 应 用 程序 方面 的 安全 更 新 ) 。 

@ 服务 器 的 隐患 检查 (包括 安全 隐患 性 能 等 方面 的 检查 ,每 台 服 务 器 必须 保证 每 月 重 
点 单独 检查 一 次 ,每 次 检查 结果 必须 做 好 记录 ) 。 

@ 定期 管理 密码 更 改 ( 如 每 台 服 务 器 保证 至 少 每 一 个 月 或 两 个 月 更 改 一 次 密码 ) 。 

除 上 述 服务 器 安全 措施 外 ,还 有 一 些 其 他 安全 手段 ,可 以 有 选择 地 为 服务 器 设置 ,如 安 
全 日 志 、SQL Server 数据 库 服 务 器 安全 、 设 置 IP 筛选 .禁止 木马 常用 端口 等 。 
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E5 客户 机 安全 


在 企业 .单位 的 内 部 网 络 中 ,除了 一 些 提供 网 络 服务 的 服务 器 外 ,应 用 更 多 的 是 客户 机 
(工作 站 ) 或 可 移动 的 笔记 本 电脑 。 网 络 管理 人 员 可 以 考虑 制定 标准 的 客户 机 安全 政策 , 利 
用 一 些 安全 设 定 与 保护 机 制 来 管理 这 些 有 潜在 风险 的 客户 机 。 

客户 机 是 对 企业 网 络 进行 内 部 攻击 的 最 常见 的 攻击 源 , 构 成 了 对 系统 安全 管理 员 的 挑 
战 。 一 是 因为 网 络 中 客户 机 的 数量 最 多 ,二 是 因为 许多 用 户 没有 接受 过 网 络 安全 教育 ,或 者 
不 关心 网 络 安全 问题 。 虽然 阻止 外 部 对 网 络 内 部 客户 机 进行 访问 相对 容易 ,但 要 防止 内 部 
的 攻击 就 困难 得 多 ,无 论 这 种 攻击 是 否 是 有 意 的 。 

与 网 络 的 其 他 部 分 一 样 , 实 现 客户 机 安全 的 最 佳 途径 很 多 。 可 限制 用 户 对 网 络 的 访问 
权限 ,限制 用 户 更 改 机 器 配置 的 能 力 ,在 每 一 台 客户 机 上 运行 防 病毒 软件 并 经 常 更 新 病毒 定 
义 。 通 过 对 客户 机 安全 施加 严格 的 限制 ,可 以 使 许多 安全 问题 在 发 生 之 前 避免 。 


2.5.1 客户 机 的 安全 策略 


1. 客户 机 实体 安全 


(1) 设 定 使 用 者 授权 机 制 

在 企业 .单位 内 部 网 络 环境 里 ,可 以 明确 唯 有 授权 的 使 用 者 方 可 使 用 内 部 网 的 工作 站 主 
机 。 另 外 ,使 用 者 可 以 启动 屏幕 保护 程序 来 限制 未 被 授权 的 人 使 用 ,以 保护 工作 站 中 所 存放 
的 数据 。 

(2) 设 定 访问 控制 权限 

对 于 客户 机 中 机 密 或 重要 的 档案 /目录 进行 权限 控制 , 非 授权 人 无 法 读 取 重要 的 文件 或 
利用 密码 保护 功能 进行 控制 。 

(3) 定期 执行 备份 工作 

工作 站 上 重要 的 档案 需 定期 备份 ,或 者 将 档案 备份 到 内 部 网 络 的 档案 伺服 主机 上 。 


2. 客户 机 系统 安全 设 定 


(1) 重视 软件 相关 的 安全 修补 程序 

注意 软件 开发 厂商 提供 的 修补 程序 ,并 确实 执行 修补 作业 。 

(2) 安装 防毒 软件 并 定期 更 新 病毒 码 

利用 防毒 软件 进行 病毒 的 防护 机 制 , 并 确实 更 新 程序 ,以 达到 有 效 的 预防 。 

(3) 远程 管理 的 安全 性 

远程 管理 工具 提供 给 IT 人 员 一 个 便利 的 管道 来 管理 企业 中 的 计算 机 ,但 可 能 一 不 小 
心 便 成 为 黑客 的 后 门 ,IT 人 员 需 特别 注意 。 

(4) 减少 不 必要 的 应 用 程序 

在 工作 站 上 只 要 有 不 必要 的 应 用 程序 ,就 将 它 移 除 或 停止 启动 。 

(5) 合理 使 用 客户 机 管理 程序 

网 络 管理 人 员 可 以 合理 使 用 客户 机 管理 程序 来 管理 内 部 网 络 的 软 硬 件 , 找 出 是 否 有 工 
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作 站 安装 了 未 经 授权 的 软件 ,或 执行 了 不 安全 的 软件 。 
(6) 不 随意 下 载 或 执行 来 源 不 明 的 文档 或 程序 
网 络 管理 人 员 要 提醒 每 个 使 用 者 不 要 执行 来 路 不 明 的 程序 ,减少 信息 安全 的 风险 。 


2.5.2 客户 机 的 安全 管理 与 应 用 
1. 客户 机 物理 安全 


物理 安全 涉及 对 计算 机 的 访问 。 提 到 物理 安全 时 要 考虑 两 方面 的 问题 : 一 是 客户 机 整 
机 被 窍 ; 二 是 未 授权 人 员 通 过 客户 机 获得 对 网 络 的 访问 权 。 

笔记 本 电脑 特别 易于 产生 第 一 类 问题 ,因为 用 户 经 常会 把 笔记 本 电脑 整 夜 放 在 单位 、 私 
车 或 其 他 很 容易 被 偷盗 的 场所 。 但 台式 机 系统 的 安全 性 也 应 引起 注意 ,因为 一 般 人 不 可 能 
偷 走 整 台 客户 机 ,但 有 特殊 目的 的 人 或 公司 间谍 却 会 这 样 做 。 

所 有 的 台式 机 应 该 固定 到 桌子 上 ,或 者 固定 在 更 为 安全 的 地 方 。 这 虽然 不 会 阻挡 那些 
有 目的 偷 穷 某 台 特 殊 台 式 机 的 人 员 , 但 是 它 会 降低 台式 机 对 一 般 盗 穷人 员 的 吸引 力 。 

确保 把 文件 存储 在 文件 服务 器 中 而 不 是 存储 在 本 地 硬盘 中 ,客户 机 和 笔记 本 电脑 的 安 
全 性 也 因此 而 增强 。 这 样 使 备份 工作 也 更 易于 实行 ,也 意味 着 即使 某 个 人 偷窃 了 客户 机 ,机 
器 上 也 基本 上 没有 有 价值 的 文档 。 

常见 的 发 生 非 授权 用 户 通过 客户 机 获得 对 网 络 的 访问 权 原 因 , 是 用 户 没 有 锁定 自己 的 
客户 机 。 因 为 网 络 操作 系统 允许 用 户 在 离开 时 锁定 计算 机 ,这 时 用 户 不 需要 关闭 机 器 ,也 不 
需要 退出 网 络 。 用 户 只 在 离开 客户 机 时 使 用 锁定 功能 即 可 容易 地 防止 其 他 人 再 使 用 这 台 客 
户 机 。 许 多 操作 系统 也 允许 客户 机 在 空闲 一 定时 间 后 自动 进入 锁定 模式 。 


2. 管理 员 访问 权限 


管理 员 账 号 通常 是 指 Windows 系统 中 的 Administrator 或 UNIX 系统 中 的 root。 该 账 
号 对 于 系统 中 的 任何 程序 和 文件 具有 完全 的 访问 和 管理 权 。 管 理 员 可 以 对 系统 配置 进行 全 
局 修改 ,能 够 增加 和 删除 其 他 系统 账号 。 

当 网 络 用 户 以 用 户 账号 登录 到 客户 机 时 ,用 户 可 通过 远程 服务 器 进行 验证 。 通 常用 户 
也 可 在 客户 机 上 创建 本 地 账号 。 这 个 账号 允许 用 户 在 不 连接 到 网 络 的 情况 下 登录 客户 机 。 
网 络 上 的 每 一 个 用 户 都 有 一 个 配置 文件 ,也 可 是 多 个 用 户 具 有 相同 的 配置 文件 ,这 些 用 户 通 
常 属于 同一 个 工作 组 。 

系统 管理 员 能 够 限制 用 户 和 工作 组 可 用 的 访问 权限 类 型 ,也 可 以 选择 限制 会 计 工作 组 
账号 ,以 使 它 的 成 员 只 能 访问 会 计 文件 服务 器 并 且 会 计 工作 组 的 成 员 不 能 在 他 们 的 机 器 上 
安装 任何 软件 。 

通过 分 组 的 方式 管理 安全 访问 权限 比 通过 管理 单个 用 户 的 方式 更 加 容易 ,这 也 是 多 数 
管理 员 选 择 使 用 的 原因 。 分 配 特定 权限 和 特权 给 工作 组 允许 管理 员 控 制 网 络 数据 流量 ,有 
助 于 防止 对 网 络 设备 的 非 授权 访问 。 

控制 安装 在 客户 机 上 的 应 用 程序 类 型 也 是 非常 重要 的 。 除 具有 管理 权限 的 用 户 可 以 安 
装 应 用 程序 外 ,不 允许 其 他 用 户 安装 任何 程序 。 如 果 某 些 用 户 需 要 能 够 定期 地 安装 测试 软 
件 , 则 可 赋予 这 些 用 户 对 自己 所 用 客户 机 的 管理 员 权限 ,也 可 以 创建 一 个 实验 环境 ,在 实验 
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环境 下 ,用 户 可 以 测试 和 安装 软件 , 即 给 予 他 们 有 限 的 安装 软件 的 权限 。 
3. 远程 登录 


用 户 不 应 该 从 网 络 外 部 对 他 们 的 机 器 进行 远程 访问 。 在 客户 机 上 应 该 禁用 所 有 的 远程 
访问 软件 。 防 火 墙 规则 可 以 防止 远程 用 户 尝 试 访问 客户 机 ,但 是 不 能 阻止 他 们 在 网 络 内 部 
使 用 这 些 工具 。 为 了 防止 这 种 情况 ,应 该 建立 合适 的 安全 审计 系统 。 

完全 关闭 对 客户 机 的 远程 访问 是 不 必要 的 ,也 不 建议 这 样 做 。 管理 人 员 经 常 需 要 访问 
客户 机 ,以 检查 问题 或 者 安装 新 软件 。 多 数 网 络 操作 系统 有 内 建 的 管理 此 类 任务 的 工具 ,应 
该 使 用 这 些 工 具 来 完成 。 

与 其 他 方面 一 样 ,在 使 用 远程 登录 服务 管理 机 器 之 前 ,确保 已 经 分 析 了 所 有 的 安全 风 
险 。 当 利用 台式 机 用 户 远 程 登 录 时 ,如 果 攻 击 者 能 够 嗅 探 到 管理 员 访问 客户 机 的 口令 ,就 需 
要 考虑 采用 另 一 种 远程 访问 方法 。 无 论 管理 员 选 择 使 用 哪 种 类 型 的 远程 访问 系统 ,在 管理 
员 和 客户 机 之 间 传 送 的 所 有 信息 都 应 合理 地 进行 加 密 , 这 一 点 很 重要 。 


4. 客户 机 安全 设置 


在 使 用 服务 器 Internet 连接 共享 的 网 络 中 ,黑客 不 能 直接 攻击 到 客户 机 ,最 多 只 能 对 主 
机 造成 威胁 。 如 在 客户 机 上 使 用 QQ 即时 通信 软件 时 ,有 人 在 Internet 上 测 得 的 IP, 其 实 
是 服务 器 的 IP, 因 此 服务 器 因 被 发 现 而 受到 攻击 ,而 客户 机 却 没 被 发 现 。 下 面 介绍 的 是 两 
种 简单 的 客户 机 安全 设置 实践 。 

(1) 配合 使 用 服务 器 的 DHCP 功能 

在 服务 器 上 使 用 DHCP 功能 后 ,可 以 更 好 地 保证 局 域 网 中 每 台 客 户 机 的 安全 性 ,但 客 
户 机 也 必须 配合 使 用 ,否则 会 出 现 局 域 网 IP 冲突 ,或 无 故 断 线 等 怪 现象 。 设 置 方法 很 简单 ， 
在 TCP/IP 属性 里 面 选择 “自动 获得 IP 地 址 ”和 “自动 获得 DNS 服务 器 地 址 ”就 可 以 了 ,如 
图 2.13 所 示 。 

(2) 合理 使 用 代理 

有 效 合理 地 使 用 Internet 上 提供 的 代理 服务 器 可 以 提高 客户 机 的 安全 系数 。 客 户 机 通 
过 局 域 网 服务 器 与 互联 网 上 的 代理 服务 器 连接 ,并 通过 代理 服务 器 实现 不 同 的 网 络 方式 , 即 
使 黑客 查找 到 网 络 信息 也 只 是 代理 服务 器 的 信息 ,这样 虽 不 是 100% 的 安全 ,但 是 提高 了 整 
个 网 络 的 安全 性 。 使 用 代理 服务 器 会 提高 客户 机 的 安全 系数 ,但 却 以 牺牲 性 能 为 代价 ,所 以 
是 否 使 用 该 方法 应 酌情 而 定 。 

代理 设置 的 具体 操作 步骤 如 下 : 

第 1 步 : 对 HTTP、FTP 等 网 络 方式 设置 代理 时 ,打开 控制 面板 中 的 “Internet 选项 ”， 
弹出 “Internet 属性 ”窗口 ,打开 “连接 ”选项 卡 , 如 图 2. 14 所 示 。 

第 2 步 : 单 击 图 2. 14 右 下 侧 的 “局 域 网 设置 "按钮 ,在 “局 域 网 (LAN) 设 置 " 里 将 “为 
LAN 使 用 代理 服务 器 " 复 选 框 选中 ,如 图 2. 15 所 示 。 

第 3 步 : 单 击 “ 高 级 ”按钮 ,弹出 如 图 2. 16 所 示 的 “代理 服务 器 设置 "对话 框 ,可 填写 详 
细 的 代理 信息 。 

第 4 步 : 设置 完毕 , 单 击 “ 确 定 ” 按 钮 ,完成 代理 设置 。 
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图 2.15 局 域 网 设置 图 2. 16 “代理 服务 器 设置 ”对话 框 


5. 台式 机 和 笔记 本 电脑 的 区 别管 理 


系统 管理 员 面临 的 一 个 常见 问题 是 决定 使 用 台式 机 还 是 笔记 本 电脑 。 台 式 机 不 易 移 
动 , 易 于 管理 。 当 系统 管理 员 需 要 访问 台式 机 时 ,马上 就 可 以 做 到 。 但 现在 使 用 笔记 本 电脑 
的 用 户 很 多 ,特别 是 那些 经 常 外 出 或 者 在 家 里 做 大 量 工作 的 用 户 。 由 于 笔记 本 电脑 功能 变 
得 越 来 越 强 大 ,它们 在 公司 环境 中 正 慢 慢 取代 台式 机 。 雇 员 需 要 远程 工作 ,他 们 就 可 在 家 里 
上 网 ,不 需要 在 家 用 计算 机 上 安装 特殊 的 软件 。 

虽然 笔记 本 电脑 的 好 处 很 明显 ,但 是 它们 很 容易 出 现 管理 和 安全 方面 的 问题 。 在 家 中 
和 工作 中 使 用 笔记 本 电脑 的 雇员 会 把 它 作为 自己 的 物品 来 对 待 ,电脑 上 可 能 安装 了 未 经 批 
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准 的 软件 或 者 操作 系统 ,这 些 软件 也 可 能 是 未 经 许可 的 ,这 会 使 笔记 本 电脑 存在 受 攻击 的 


可 能 。 


此 外 ,笔记 本 电脑 也 应 做 备份 。 当 预先 安排 执行 的 备份 工作 开始 时 ,如 果 笔 记 本 电脑 没 
有 连接 在 网 络 上 ,这 项 工作 就 不 能 完成 。 文 件 服务 器 对 于 笔记 本 电脑 用 户 更 加 重要 ,在 可 能 
的 情况 下 ,用 户 应 该 把 文件 手工 复制 到 文件 服务 器 中 。 

因此 ,管理 员 要 制定 有 关 安 全 措施 ,对 使 用 笔记 本 电脑 的 用 户 进行 严格 管理 和 要 求 。 在 
发 放 笔 记 本 电脑 时 必须 对 所 有 用 户 解释 清楚 保持 笔记 本 电脑 完整 的 重要 性 。 


加 题 和 思考 是 


一 、 问 答题 


3 
4 
向 \ 协 
5 
6 


和 


. 解释 网 络 宛 余 安全 中 的 “元 余 ” 含 义 及 宛 余 的 目的 。 

. 简 述 路 由 选择 算法 及 其 分 类 。 

. 简 述 路 由 器 访问 控制 的 安全 策略 。 

. 简 述 安全 交换 机 的 新 功能 。 

. 简 述 服务 器 的 安全 策略 。 

. 简 述 客户 机 实体 安全 和 系统 安全 策略 。 

. 列举 几 种 网 络 上 常用 的 服务 器 。 

、 填 空 题 

.常用 的 网 络 硬件 设备 包括 客户 端 硬件 设备 (如 。””) 和 网 络 设备 (如 ) 两 大 类 。 

.“ 宛 余 ? 就 是 ( ) ,以 保证 系统 更 加 可 靠 、 安 全 地 工作 。 

. 网 络 系统 的 主要 设备 有 ( yx yt ) 以 及 网 络 边界 设备 等 。 

-> ) 是 网 络 的 神经 中 枢 , 是 众多 网 络 设备 的 重要 一 员 , 它 担负 着 网 间 互 连 、 路 由 走 
议 配置 和 网 络 安 全 等 重任 ,是 信息 出 入 网 络 的 必 经 之 路 。 

.路 由 选择 算法 可 分 为 ( ) 路 由 选择 算法 和 ( ) 路 由 选择 算法 两 大 类 。 

St ) 是 一 种 基于 MAC( 网 卡 的 硬件 地 址 ) 识 别 ,能 完成 封装 转发 数据 包 功 能 的 网 


络 设备 , 它 在 内 部 网 中 占有 重要 的 地 位 ,通常 是 整个 网 络 的 核心 所 在 。 


yi 
8 


. 安全 交换 机 具有 ( Ji ) 和 入 侵 检 测 系统 等 功能 。 
. 按照 服务 用 途 , 网 络 服务 器 有 ( ) 人 jE ) 和 电子 邮件 服务 器 等 。 


三 、 实验 题 


1 
2 
3. 
4 


. 在 Cisco 路 由 器 上 进行 RIP 路 由 协议 配置 。 

. 禁止 路 由 器 部 分 网 络 服务 的 配置 。 

Cisco 交换 机 口令 的 安全 配置 。 

.对 交换 机 进行 配置 使 IP 地 址 与 MAC 地 址 绑 定 。 
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网 络 系统 是 由 多 个 相互 独立 的 计算 机 系统 通过 通信 媒体 连接 起 来 的 。 各 计算 机 都 具有 
一 个 完整 独立 的 操作 系统 ,网 络 操作 系统 (network operating system,NOS) 是 建立 在 这 些 
独立 的 操作 系统 基础 上 的 .用 以 扩充 网 络 功能 的 系统 。 网 络 操作 系统 是 网 络 的 心 胜 和 灵魂 ， 
是 向 网 络 计算 机 提供 服务 的 特殊 的 操作 系统 。 它 在 计算 机 操作 系统 下 工作 ,使 计算 机 操作 
系统 增加 了 网 络 操作 所 需要 的 能 力 。 网 络 操 作 系 统 运 行 在 称 为 服务 器 的 计算 机 上 ,并 由 联 
网 的 计算 机 用 户 共 享 , 这 类 用 户 称 为 客户 。 


@.1 常用 网 络 操作 系统 简介 
SA 


网 络 操作 系统 是 为 使 网 络 用 户 能 方便 而 有 效 地 共享 网 络 资源 而 提供 各 种 服务 的 软件 及 
相关 规程 的 集合 ,是 网 络 软件 系统 的 基础 。 它 是 整个 网 络 的 核心 ,通过 对 网 络 资源 的 管理 ， 
为 用 户 方便 而 有 效 地 使 用 网 络 资源 提供 网 络 接口 和 网 络 服务 。 网 络 操作 系统 除了 具有 一 般 
的 操作 系统 所 具有 的 处 理 机 管理 ,存储 器 管理 .设备 管理 和 文件 管理 功能 外 ,还 提供 高 效 而 
可 靠 的 网 络 通信 环境 和 多 种 网 络 服务 功能 。 

常用 的 网 络 操作 系统 有 Microsoft 公司 的 Windows NT、 Windows 2000 Server、 
Windows Server 2003 和 Windows XP, Novell 公司 的 NetWare, SCO 公司 的 UNIX 和 
RedHat 公司 的 Linux。Windows 2000 是 在 Windows NT 基础 上 ,在 安全 性 、 可 操作 性 等 方 
面 都 做 了 较 大 的 改进 后 ,由 Microsoft 公司 推出 的 网 络 操作 系统 ,为 广大 用 户 所 接受 。 
Windows Server 2003 则 是 依据 . NET 架构 对 Windows NT 技术 进行 了 重要 发 展 和 实质 性 
改进 的 一 种 全 新 的 操作 系统 。 大 多 数 网 络 都 是 采用 这 几 种 网 络 操作 系统 构造 的 。 


3.1.1 Windows NT 


Windows NT 是 Microsoft 公司 在 LAN Manager 网 络 操作 系统 基础 上 于 1993 年 推出 
的 具有 更 高 性 能 的 NOS。 在 Windows NT 问世 的 几 年 内 ,网 络 操作 系统 一 直 由 NetWare 
垄断 的 局 面 被 打破 了 ,尤其 在 视窗 环境 下 的 用 户 界面 .方便 灵活 的 系统 管理 ,使 得 越 来 越 多 
的 计算 机 用 户 转向 Windows NT 系统 。 

Windows NT 是 一 种 32 位 多 用 户 、 多 任务 的 网 络 操作 系统 ,也 是 一 种 面向 分 布 式 图 形 
应 用 程序 的 完整 的 平台 系统 。Windows NT 既 可 作为 局 域 网 络 的 服务 器 系统 ,为 局 域 网 上 
客户 机 提供 多 种 服务 ,又 可 作为 局 域 网 上 的 客户 系统 ,访问 网 上 任何 服务 器 。Windows NT 
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为 网 络 管理 提供 了 完善 的 解决 方案 ; 具备 担负 大 型 项 目 需求 的 能 力 ; 提供 了 健全 的 安全 保 
护 能 力 和 具有 独特 的 支持 多 平台 的 优势 等 。 

Windows NT 网 络 软件 主要 包括 Windows NT Server(Windows NTS) 和 Windows 
NT Workstation(Windows NTWS) 两 种 。 这 两 种 版 本 都 是 32 位 操作 系统 ,网 络 功能 也 都 
很 完善 。 前 者 主要 用 于 网 络 上 的 服务 器 ,包括 文件 服务 器 、 打 印 服务 器 和 Windows NT 网 
络 的 主 域 控 制 器 等 ; 后 者 则 主要 服务 于 高 档 客户 。 从 网 络 角度 看 , Windows NTS 属于 管理 
网 络 的 主 服务 器 软件 ,而 Windows NTWS 则 用 于 管理 特殊 工作 站 或 用 户 工作 站 。 两 者 相 
比 , 服 务 器 软件 附带 有 较 强 的 管理 功能 和 较 完善 的 Internet 功能 ,如 可 以 使 用 附带 的 IIS 软 
件 建立 企业 网 的 Internet 信息 服务 器 ,而 工作 站 软件 只 有 较 简单 的 单一 Web 服务 功能 。 

Windows NT 是 功能 强大 的 网 络 操作 系统 , 既 适 合 于 大 型 业务 机 构 的 实时 、 分 时 数据 处 
理 , 又 能 为 工作 组 、 商 业 和 企业 的 不 同 机 构 提 供 一 种 优化 的 文件 和 打印 服务 ,其 Client/ 
Server(C/S) 平 台 还 可 以 集成 各 种 新 技术 ,通过 该 平台 为 信息 存 取 提 供 优越 的 环境 。 

Windows NT 操作 系统 在 其 核心 内 置 了 容错 技术 ,可 以 在 应 用 软件 和 系统 硬件 故障 时 ， 
保证 系统 能 正常 可 靠 地 工作 ; 提供 了 相当 多 的 易于 实施 的 网 络 管理 及 网 络 安全 功能 ,如 创 
建 用 户 组 和 用 户 , 用 户 入 网 安全 限制 ,进行 各 种 CPU 和 内 存 的 测试 与 分 析 等 。 

虽然 工作 站 软件 也 可 以 被 安装 在 计算 机 上 作为 服务 器 使 用 ,但 由 于 受 其 先天 设计 思想 
的 限制 ,使 多 数 服务 器 版 本 的 软件 无 法 在 该 环境 中 使 用 ,因此 在 多 数 场合 中 不 适宜 作 服务 器 
使 用 。 然 而 ,对 于 那些 希望 享受 操作 系统 比 Windows 95 更 稳定 、 更 安全 的 用 户 来 说 ,使 用 
Windows NTWS 作为 自己 桌面 的 操作 系统 ,可 能 是 一 个 最 佳 选 择 。 

Windows NT 系统 涉及 一 些 基 本 概念 ,如 域 (domain) ,工作 组 (workgroup)、 目 录 数 据 
库 、 委 托 关 系 (trust relationships) 等 。 

Windows NT 系统 的 服务 有 目录 服务 ,文件 共享 服务 .共享 打印 服务 、 网 络 互 连 服务 、 远 
程 通信 服务 和 Internet 服务 等 ,系统 的 Web 服务 器 .FTP 服务 器 .DHCP( 主 机 动态 配置 协 
议 ) 服 务 器 、WINS 服务 器 .DNS 服务 器 和 邮件 服务 器 等 都 可 为 用 户 提供 相应 的 Internet 
服务 。 


3.1.2 Windows 2000/2003 


1. Windows 2000 系统 


在 Windows NT 之 后 , Microsoft 公司 又 推出 了 Windows 2000 网 络 操作 系统 。 与 
Windows NT 相 比 ,Windows 2000 在 许多 方面 都 做 了 较 大 的 改进 。 在 安全 性 、 可 操作 性 等 
方面 都 有 了 质 的 飞跃 。 

Windows 2000 系列 操作 系统 有 Windows 2000 Datacenter Server、Windows 2000 
Advanced Server、Windows 2000 Server 和 Windows 2000 Professional 版 本 。Windows 
2000 Datacenter Server 是 一 个 新 的 品种 , 它 支 持 32 个 以 上 的 CPU 和 64GB 的 内 存 , 以 及 4 
个 节点 的 集群 服务 。Windows 2000 Server 和 Advanced Server 分 别 是 Windows NT 
Server 4.0 及 其 企业 版 的 升级 产品 。Windows 2000 Professional 是 一 个 商业 用 户 的 桌面 操 
作 系 统 , 也 适合 移动 用 户 , 是 Windows NT Workstation 4.0 的 升级 产品 。 

Windows 2000 系列 操作 平台 继承 了 Windows NT 的 高 性 能 ,融入 了 Windows 9x 易 操 
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作 的 特点 ,又 发 展 了 一 些 新 的 特性 。Windows 2000 使 用 了 活动 目录 ,分布 式 文件 系统 、 智 能 
镜像 .管理 咨询 等 新 技术 ,具备 了 强大 的 网 络 功 能 ,可 作为 各 种 网 络 的 操作 平台 ,尤其 是 
Windows 2000 强化 的 网 络 通信 ,提供 了 强大 的 Internet 功能 ,为 搭建 电子 商务 解决 方案 提 
供 了 可 靠 的 、 高 性 能 的 基础 平台 。 


2. Windows 2003 系统 


在 微软 的 企业 级 操作 系统 中 ,如果 说 Windows 2000 全 面 继承 了 NT 技术 ,那么 
Windows Server 2003 则 是 依据 . NET 架构 对 NT 技术 进行 了 重要 发 展 和 实质 性 改进 ,并 部 
分 实现 了 .NET 战略 ,构筑 了 . NET 战略 中 最 基础 的 一 环 。Windows Server 2003 作为 . NET 
架构 提出 以 来 最 重要 、 最 基础 性 的 产品 , 它 的 推出 受到 了 业内 人 士 的 关注 。 

Windows Server 2003 是 一 款 微软 推出 的 全 新 操作 系统 。Windows Server 2003 简体 
中 文 版 分 Web、Standard、Enterprise 和 Datacenter 四 个 版 本 。Enterprise 版 最 大 支持 8 个 
处 理 器 和 32GB 内 存 , 最 小 配置 为 CPU 速度 不 低 133MHz, 内存 不 少 于 128MB。 因 此 ， 
Windows Server 2003 具有 硬件 适应 性 面 广 和 伸缩 性 强 的 特点 。 

Windows Server 2003 不 仅 改 进 了 Windows 2000 原 有 的 服务 ,提高 了 这 些 服务 的 性 能 
和 扩充 了 许多 功能 ,而且 还 增加 了 新 的 服务 。 如 安全 性 可 管理 性 和 系统 性 能 等 。Windows 
Server 2003 改进 并 增强 了 远程 控制 功能 .Net Framework 计算 平台 IIS 6.0., 流 媒体 服务 和 
关闭 事件 跟踪 功能 等 。 

从 安全 性 角度 看 ,原来 的 Windows 系统 的 安全 性 总 是 不 尽 如 人 意 , 直 到 Windows 2000 
才 有 较 大 改观 ,但 依然 存在 缺憾 ,如 登录 时 的 输入 法 漏洞 IIS 特殊 网 址 漏洞 等 。Windows 
Server 2003 在 安全 上 下 了 大 工夫 ,不 仅 堵 住 了 已 发 现 的 NT 漏洞 ,而 且 还 重新 设计 了 安全 
子 系统 ,增加 了 新 的 安全 认证 ,改进 了 安全 算法 。 

在 本 地 安全 策略 方面 , Windows 2003 区 别 于 Windows 2000 之 处 在 于 软件 限制 策略 
(SRP) 。Windows 2003 的 SRP 允许 用 户 控制 在 本 地 计算 机 系统 上 运行 哪些 软件 。 用 户 可 
在 选项 中 规定 系统 要 运行 的 软件 ,因此 可 阻止 不 被 信任 的 软件 运行 。 用 户 可 定义 默认 的 安 
全 级 别 为 Unrestricted( 人 允许 未 明确 拒绝 的 ) 或 Disallowed( 拒 绝 未 明确 允许 的 )。 后 者 有 和 较 
好 的 安全 级 别 , 但 限制 过 于 严格 。 

在 用 户 组 策略 方面 , Windows 2003 系统 在 组 策略 中 增加 了 两 项 内 容 : 软件 限制 策略 
(SRP) 和 无 线 网 络 策略 (IEEE 802. 11)。 软 件 限制 策略 的 功能 与 本 地 安全 策略 相同 ,但 它 可 
应 用 到 站 点 , 域 或 机 构 单位 (OU)。 无 线 网 络 策略 允许 管理 员 管 理 无 线 网 络 ,定义 优先 的 无 
线 网 络 , 并 对 任何 系统 定义 802. 1x 身份 验证 。 

Windows 2003 的 安全 中 心 是 活动 目录 (AD)。 它 集成 了 最 新 版 本 的 Windows 操作 系 
统 中 的 目录 服务 。Windows 2003 的 活动 目录 比 Windows 2000 的 活动 目录 的 灵活 性 和 可 
管理 性 更 强 ,可 以 处 理 森 林 域 信任 关系 。 


3.1.3 Linux 和 UNIX 
1. Linux 系统 


Linux 是 一 种 类 似 UNIX 操作 系统 的 自由 软件 , 它 是 由 芬兰 赫尔辛基 大 学 的 一 位 叫 
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Linus 的 大 学 生发 明 的 。1991 年 8 月 ,Linus 在 Internet 上 公布 了 他 开发 的 Linux 的 源 代 
码 。 由 于 Linux 具有 结构 清晰 、 功 能 简捷 和 完全 开放 等 特点 ,许多 大 学 生 和 科研 机 构 的 研究 
人 员 纷 纷 将 其 作为 学 习 和 研究 对 象 。 他 们 在 修改 原 Linux 版 本 中 错误 的 同时 ,也 不 断 为 
Linux 增加 新 的 功能 。 在 全 世界 众多 热心 者 的 努力 下 ,Linux 操作 系统 得 以 迅速 发 展 ,成 为 
一 个 稳定 可 靠 、 功 能 完善 的 操作 系统 ,并 赢得 了 许多 公司 的 支持 ,包括 提供 技术 支持 。 开 发 
Linux 应 用 软件 ,并 将 其 应 用 推广 ,这 也 大 大 加 快 了 Linux 系统 商业 化 的 进程 。 国 际 上 许多 
著名 IT 厂商 和 软件 商 纷纷 宣布 支持 Linux。Linux 很 快 被 移植 到 Alpha、PowerPC、Mips 
和 Sparc 等 平台 上 ,从 Netscape、IBM、Oracle、Informix 到 Sybase 均 已 推出 Linux 产品 。 
Netscape 对 Linux 的 支持 ,大 大 加 强 了 Linux 在 Internet 应 用 领域 中 的 竞争 地 位 。 大 型 数 
据 库 软件 公司 对 Linux 的 支持 , 则 为 其 进入 大 中 型 企业 的 信息 系统 建设 和 应 用 领域 葛 定 了 
基础 。 

在 中 国 , 随 着 Internet 的 发 展 和 网 民 的 迅速 增加 ,一 支 主要 由 高 校 学 生 和 ISP 技术 人 员 
组 成 的 Linux 爱好 者 队伍 已 莲 勃 发 展 起 来 , 曾 兴 起 “Linux 热 "。 随 后 Linux 在 国内 得 到 了 
大 规模 的 应 用 和 普及 。 可 以 说 , 随 着 Internet 的 普及 应 用 ,免费 而 性 能 优异 的 Linux 操作 系 
统 将 发 挥 越 来 越 大 的 作用 。 

Linux 之 所 以 发 展 得 如 此 之 快 , 不 能 不 说 是 Internet 的 功劳 ,因为 对 Linux 的 讨论 和 研 
究 都 是 通过 Internet 进行 的 。Linux 和 Internet 的 发 展 相 辅 相 成 ,没有 Internet, 就 没有 
Linux 的 诞生 和 发 展 。 反 过 来 ,Linux 的 发 展 也 大 大 促进 了 Internet 的 发 展 ,因为 Linux 是 
一 个 完全 公开 的 操作 系统 ,每 个 人 都 可 以 得 到 它 的 源 代码 ,这 使 得 许多 人 的 才能 有 了 用 武之 
地 。 在 Internet 上 ,自学 成 为 Linux 专家 已 成 为 年 轻 人 的 最 大 梦想 之 一 。 

Linux 继承 了 UNIX 的 很 多 优点 (如 多 任务 、 多 用 户 ), 还 具有 共享 内 存 页 面 、 使 用 分 页 
技术 的 虚拟 内 存 、 动 态 链接 共享 库 ,支持 多 个 虚拟 控制 台 、 调 度 磁盘 缓冲 功能 、 支 持 多 平台 、 
与 其 他 UNIX 系统 兼容 \、 提 供 全 部 源 代码 及 支持 多 种 CPU、 多 种 硬件 、 软 件 移植 性 好 等 
特点 。 


2. UNIX 系统 


1970 年 ,在 美国 电报 电话 公司 (AT&T) 的 贝尔 (BelD) 实 验 室 研制 出 了 一 种 新 的 计算 机 
操作 系统 ,这 就 是 UNIX。UNIX 是 一 种 分 时 操作 系统 ,主要 用 在 大 型 机 、 超 级 小 型 机 、RISC 
计算 机 和 高 档 微 机 上 。 在 整个 20 世纪 70 年 代 它 得 到 了 广泛 的 普及 和 发 展 。 许 多 工作 站 生 
产 厂家 使 用 UNIX 作为 其 工作 站 的 操作 系统 。 在 20 世纪 80 年 代 , 由 于 世界 上 各 大 公司 纷 
纷 开 发 并 形成 自己 的 UNIX 版 本 ,出 现 了 分 裂 局 面 ,加 之 受到 了 NetWare 的 极 大 冲击 ， 
UNIX 曾 一 度 衰败 。20 世纪 90 年 代 , 开 发 和 使 用 UNIX 的 各 大 公司 再 次 加 强 了 合作 和 对 
UNIX 的 统一 进程 ,并 加 强 了 UNIX 系统 网 络 功 能 的 深入 研究 ,不 断 推出 功能 更 强大 的 新 版 
本 ,并 以 此 拓展 全 球 网 络 市 场 。20 世纪 90 年 代 中 期 ,UNIX 作为 一 种 成 熟 、 可 靠 , 功 能 强大 
的 操作 系统 平台 ,特别 是 对 TCP/IP 的 支持 以 及 大 量 的 应 用 系统 ,使 得 它 继续 拥有 相当 规模 
的 市 场 ,并 保持 了 连续 数 年 两 位 数字 的 增长 。 

UNIX 系统 的 再 次 成 功 取 决 于 它 将 TCP/IP 协议 运行 于 UNIX 操作 系统 上 ,使 之 成 为 
UNIX 操作 系统 的 核心 ,从 而 构成 了 UNIX 网 络 操作 系统 。UNIX 操作 系统 在 各 种 机 器 上 
都 得 到 了 广泛 的 应 用 , 它 已 成 为 最 流行 的 网 络 操作 系统 之 一 和 事实 上 标准 的 网 络 操作 系统 。 
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UNIX 系统 服务 器 可 以 与 Windows 及 DOS 工作 站 通过 TCP/IP 协议 连接 成 网 络 。UNIX 
服务 器 具有 支持 网 络 文件 系统 服务 、 提 供 数据 库 应 用 等 优点 。 

UNIX 系统 是 一 个 可 供 多 用 户 同时 操作 的 会 话 式 分 时 操作 系统 。 不 同 的 用 户 可 以 在 不 
同 的 终端 上 ,通过 会 话 方式 控制 系统 操作 。UNIX 系统 继承 了 以 往 操作 系统 的 先进 技术 ,又 
在 总 体 设计 思想 上 有 所 创新 。 在 操作 系统 功能 设计 上 力求 简捷 、 高 效 。UNIX 系统 向 用 户 
提供 了 两 种 界面 : 一 种 是 用 户 使 用 命令 ,通过 终端 与 系统 进行 交互 的 界面 , 即 用 户 界 面 ; 另 
一 种 是 用 于 用 户 程序 与 系统 的 接口 , 即 系统 调用 。UNIX 系统 采用 树 型 结构 的 文件 系统 ,由 
基本 文件 系统 和 可 装 务 的 若干 个 子 文件 系统 组 成 , 既 能 扩大 文件 存储 空间 ,又 具有 良好 的 安 
全 性 、 保 密 性 和 可 维护 性 。UNIX 系统 是 能 在 笔记 本 电脑 .PC 工作 站 、 中 小 型 机 乃至 巨型 
机 上 运行 的 操作 系统 。 因 此 ,UNIX 系统 具有 极 强 的 可 伸缩 性 。 


C2 网 络 操作 系统 安全 与 管理 


网 络 操作 系统 在 网 络 应 用 中 发 挥 着 十 分 重要 的 作用 。 因 此 ,网 络 操作 系统 本 身 的 安全 
就 成 为 网 络 安全 保护 中 的 重要 内 容 。 

操作 系统 主要 的 安全 功能 包括 存储 器 保护 (限定 存储 区 和 地 址 重 定位 ,保护 存储 信息 )、 
文件 保护 (保护 用 户 和 系统 文件 ,防止 非 授 权 用 户 访问 ) .访问 控制 .身份 认证 (识别 请 求 访问 
的 用 户 权限 和 身份 ) 等 。 


3.2.1 网 络 操作 系统 安全 与 访问 控制 
1. 网 络 操作 系统 安全 


网 络 操 作 系 统 安全 保护 的 研究 ,通常 包括 如 下 内 容 。 

(1) 操作 系统 本 身 提供 的 安全 功能 和 安全 服务 。 现 代 操作 系统 本 身 往往 要 提供 一 定 的 
访问 控制 .认证 和 授权 等 方面 的 安全 服务 。 如 何 对 操作 系统 本 身 的 安全 性 能 进行 研究 和 开 
发 ,使 之 符合 特定 的 环境 和 需求 ,是 操作 系统 安全 保护 的 一 个 方面 。 

(2) 针对 各 种 常用 的 操作 系统 ,进行 相关 配置 .使 之 能 正确 对 付 和 防御 各 种 入 侵 。 

(3) 保证 网 络 操作 系统 本 身 所 提供 的 网 络 服 务 能 得 到 安全 配置 。 

网 络 操作 系统 安全 是 整个 网 络 系统 安全 的 基础 。 操 作 系 统 安全 机 制 主要 包括 访问 控制 
和 隔离 控制 。 隔 离 控 制 主要 有 物理 (设备 或 部 件 ) 隔 离 .时 间隔 离 . 巡 辑 隔 离 和 加 密 隔 离 等 实 
现 方法 ; 而 访问 控制 是 安全 机 制 的 关键 ,也 是 操作 系统 安全 中 最 有 效 、 最 直接 的 安全 措施 。 

访问 控制 系统 一 般 包括 主体 、 客 体 和 安全 访问 政策 。 

(1) 主体 (subject) : 主体 是 指 发 出 访问 操作 、 存 取 请 求 的 主动 方 , 它 包括 用 户 、 用 户 组 、 
主机 终端 或 应 用 进程 等 。 主 体 可 以 访问 客体 。 

(2) 客体 (object) : 客体 是 指 被 调用 的 程序 或 要 存 取 的 数据 访问 , 它 包 括 文件 程序、 内 
存 、 目 录 、 队 列 、 进 程 间 报 文 .VO 设备 和 物理 介质 等 。 

(3) 安全 访问 政策 : 安全 访问 政策 是 一 套 规 则 ,可 用 于 确定 一 个 主体 是 否 对 客体 拥有 
访问 能 力 。 

操作 系统 内 的 活动 都 可 以 看 做 是 主体 对 计算 机 系统 内 部 所 有 客体 的 一 系列 操作 。 操 作 
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系统 中 任何 含有 数据 的 东西 都 是 客体 ,可 能 是 一 个 字 节 、 字 段 或 记录 程序 等 。 能 访问 或 使 用 
客体 活动 的 实体 是 主体 ,主体 一 般 是 用 户 或 者 代表 用 户 进行 操作 的 进程 。 

在 计算 机 系统 中 ,对 于 给 定 的 主体 和 客体 ,必须 有 一 套 严格 的 规则 来 确定 一 个 主体 是 否 
被 授权 获得 对 客体 的 访问 。 

一 般 来 说 ,如 果 一 个 计算 机 系统 是 安全 的 , 即 指 该 系统 能 通过 特定 的 安全 功能 控制 主体 
对 客体 信息 的 访问 ,也 就 是 说 只 有 经 过 授权 的 主体 才能 读 、 写 、 创 建 或 删除 客体 信息 。 


2. 网 络 访问 控制 


(1) 访问 控制 的 类 型 

为 了 系统 信息 的 保密 性 和 完整 性 ,对 网 络 系 统 需 要 实施 访问 控制 。 访 问 控 制 也 称 为 授 
权 , 它 是 对 用 户 访问 网 络 系 统 资源 进行 的 控制 过 程 。 只 有 被 授予 一 定 权 限 的 用 户 , 才 有 资格 
去 访问 有 关 的 资源 。 访 问 控制 具体 包括 两 方面 含义 : 一 是 指 对 用 户 进入 系统 的 控制 ,最 简 
单 最 常用 的 方法 是 用 户 账户 和 口令 限制 ,其 次 还 有 一 些 身份 验证 措施 ; 二 是 用 户 进入 系统 
后 对 其 所 能 访问 的 资源 进行 的 限制 ,最 常用 的 方法 是 访问 权限 和 资源 属性 限制 。 

访问 控制 所 考虑 的 是 对 主体 访问 客体 的 控制 。 主 体 一 般 是 以 用 户 为 单位 实施 访问 控制 
(划分 用 户 组 只 是 对 相同 访问 权限 用 户 的 一 种 管理 方法 ) ,此 外 ,网 络 用 户 也 有 以 IP 地 址 为 
单位 实施 访问 控制 的 。 客 体 的 访问 控制 范围 可 以 是 整个 应 用 系统 ,包括 网 络 系统 .服务 器 系 
统 、 操 作 系统 .数据 库 管理 系统 以 及 文件 数据库、 数据 库 中 的 某 个 表 甚至 是 某 个 记录 或 字段 
等 。 一 般 来 说 ,对 整个 应 用 系统 的 访问 ,宏观 上 通常 是 采用 身份 鉴别 的 方法 进行 控制 ,而 微 
观 控制 通常 是 指 在 操作 系统 ,数据库 管理 系统 中 所 提供 的 用 户 对 文件 或 数据 库 表 、 记 录 / 字 
段 的 访问 所 进行 的 控制 。 

访问 控制 可 分 为 自主 访问 控制 和 强制 访问 控制 两 大 类 。 

Q 自主 访问 控制 

所 谓 自主 访问 控制 ,是 指 由 系统 提供 用 户 有 权 对 自身 所 创建 的 访问 对 象 (文件 数据 表 
等 ) 进 行 访问 ,并 可 将 这 些 对 象 的 访问 权 授予 其 他 用 户 或 从 授予 权限 的 用 户 处 收回 其 访问 权 
限 。 访 问 对 象 的 创建 者 还 有 权 进 行 “权限 转让 ”, 即 将 “授予 其 他 用 户 访问 权限 ”的 权限 转让 
给 别 的 用 户 。 需 要 指出 的 是 ,在 一 些 系 统 中 ,往往 是 由 系统 管理 员 充 当 访 问 对 象 的 创建 者 ， 
并 进行 访问 授权 ,而 在 其 后 通过 “授权 转让 ”将 权限 转让 给 指定 用 户 。 自 主 访问 控制 允许 用 
户 自行 定义 其 所 创建 的 数据 , 它 以 一 个 访问 矩阵 来 表示 包括 读 、 写 、 执 行 、 附 加 以 及 控制 等 访 
问 模式 。 

@ 强制 访问 控制 

所 谓 强制 访问 控制 ,是 指 由 系统 (通过 专门 设置 的 系统 安全 员 ) 对 用 户 所 创建 的 对 象 进 
行 统一 的 强制 性 控制 ,按照 规定 的 规则 决定 哪些 用 户 可 以 对 哪些 对 象 进行 何 种 操作 系统 类 
型 的 访问 ,即使 是 创建 者 用 户 ,在 创建 一 个 对 象 后 ,也 可 能 无 权 访问 该 对 象 。 

强制 访问 控制 策略 以 等 级 和 范畴 作为 其 主 、 客 体 的 敏感 标记 。 这 样 的 等 级 和 范畴 ,必须 
由 专门 设置 的 系统 安全 员 ,通过 由 系统 提供 的 专门 界面 来 进行 设置 和 维护 ,敏感 标记 的 改变 
意味 着 访问 权限 的 改变 。 因 此 可 以 说 ,所 有 用 户 的 访问 权限 完全 是 由 安全 员 根据 需要 确定 
的 。 强 制 访问 控制 还 有 其 他 安全 策略 ,如 “角色 授权 管理 ”"。 该 策略 将 系统 中 的 访问 操作 按 
角色 进行 分 组 管理 ,一 种 角色 执行 一 种 操作 ,由 系统 安全 员 进 行 统一 授权 。 当 授予 某 一 用 户 
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某 个 角色 时 ,该 用 户 就 有 执行 该 角色 所 对 应 的 一 组 操作 的 权限 。 当 安全 员 撤 销 其 授予 用 户 
的 某 一 角色 时 ,相应 的 操作 权限 也 同时 被 撤销 。 

(2) 访问 控制 措施 

访问 控制 是 保证 网 络 系统 安全 的 主要 措施 ,也 是 维护 网 络 系统 安全 保护 网 络 资源 的 重 
要 手段 。 通 常 具体 的 访问 控制 措施 有 以 下 几 种 。 

四 入 网 访问 控制 

入 网 访问 控制 是 为 用 户 安全 访问 网 络 设置 的 第 一 道 关 口 。 它 是 通过 对 某 些 条 件 的 设置 
来 控制 用 户 是 否 能 进入 网 络 的 一 种 安全 控制 方法 。 它 能 控制 哪些 用 户 可 以 登录 网 络 ,在 什 
么 时 间 、 地 点 (站 点 ) 登 录 网 络 等 。 

人 网 访问 控制 主要 就 是 对 要 进入 系统 的 用 户 进行 识别 ,并 验证 其 合法 身份 。 系 统 可 以 
采用 用 户 账户 和 口令 ,账户 锁定 、 安 全 标识 符 及 其 他 一 些 身份 验证 等 方法 实现 。 

每 个 用 户 在 进行 网 络 注册 时 ,都 要 由 系统 指定 或 由 用 户 自己 选择 一 个 用 户 账户 (用 户 
名 ) 和 用 户口 令 。 这 些 用 户 账户 及 口令 信息 都 被 存储 于 系统 的 用 户 信息 数据 库 中 。 也 就 是 
说 ,每 个 要 入 网 的 合法 用 户 都 有 一 个 系统 认可 的 用 户 名 和 用 户口 令 。 

当 用 户 要 登录 网 络 时 ,首先 要 输入 自己 的 用 户 名 和 用 户口 令 ,然后 服务 器 将 验证 用 户 输 
入 的 用 户 名 和 用 户口 令 信息 是 否 合法 。 如 果 验 证 通过 ,用 户 即 可 进入 网 络 ,去 访问 其 所 需要 
且 有 权 访问 的 资源 ,否则 用 户 将 被 拒 于 网 络 之 外 。 

为 了 防止 非法 用 户 冒 充 合法 用 户 尝 试用 穷 举 法 猜测 口令 而 登录 系统 ,系统 应 为 用 户 设 
定 尝 试 登录 的 最 大 次 数 。 在 达到 该 次 数 数值 后 ,系统 将 自动 锁定 该 用 户 , 不 允许 其 再 尝试 
登录 。 

必要 时 ,系统 为 用 户 建立 的 账户 中 还 可 包含 用 户 的 入 网 时 间 、 入 网 站 点 、 入 网 次 数 和 用 
户 访问 的 资源 容量 等 限制 。 

@ 权限 访问 控制 

一 个 用 户 登 录入 网 后 ,并 不 意味 着 他 能 够 访问 网 络 中 的 所 有 资源 。 用 户 访问 网 络 资源 
的 能 力 将 受到 访问 权限 的 限制 。 访 问 权限 控制 一 个 用 户 能 访问 哪些 资源 (目录 和 文件 ), 以 
及 对 这 些 资源 能 进行 哪些 操作 。 

在 系统 为 用 户 指定 用 户 账 户 后 ,系统 根据 该 用 户 在 网 络 系统 中 要 做 的 工作 及 相关 要 求 ， 
可 为 用 户 访问 系统 资源 设 定 访问 权限 。 用 户 要 访问 的 系统 资源 包括 目录 、 子 目录 、 文 件 和 设 
备 ; 用 户 要 对 这 些 资 源 的 访问 操作 可 有 读 、 写 、 建 立 、 删 除 、 更 改 等 。 

@ 属性 访问 控制 

属性 是 文件 .目录 等 资源 的 访问 特性 。 系 统 可 直接 对 目录 、 文 件 等 资源 规定 其 访问 属 
性 。 通 过 设置 资源 属性 可 以 控制 用 户 对 资源 的 访问 。 属 性 是 在 权限 安全 性 的 基础 上 提供 的 
进一步 的 安全 性 。 

属性 是 系统 直接 设置 给 资源 的 , 它 对 所 有 用 户 都 具有 约束 权 。 一旦 目录 、 文 件 等 资源 具 
有 了 某 些 属性 ,用 户 ( 包 括 超 级 用 户 ) 都 不 能 进行 超出 这 些 属性 规定 的 访问 , 即 不 论 用 户 的 访 
问 权限 如 何 , 只 按照 资源 自身 的 属性 实施 访问 控制 。 如 某 文件 具有 只 读 属 性 ,对 其 有 读 写 权 
限 的 用 户 也 不 能 对 该 文件 进行 写 操作 。 要 修改 目录 或 文件 的 属性 ,必须 有 对 该 目录 或 文件 
的 修改 权 ; 要 改变 用 户 对 目录 或 文件 的 权限 ,用 户 必须 具有 对 该 目录 或 文件 的 访问 控制 权 。 
属性 可 以 控制 访问 权限 不 能 控制 的 权限 ,如 可 以 控制 一 个 文件 是 否 可 以 同时 被 多 个 用 户 使 
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用 等 。 


@ 身份 验证 

身份 验证 是 证 明 某 人 是 否 为 合法 用 户 的 过 程 , 它 是 信息 安全 体系 中 的 重要 组 成 部 分 。 

身份 验证 的 方法 有 很 多 种 ,不 同方 法 适合 于 不 同 的 环境 ,网 络 组 织 可 以 根据 自己 的 情况 
加 以 选择 。 以 下 是 几 种 常用 的 身份 验证 方法 。 


用 户 名 和 口令 验证 。 这 是 一 种 最 简单 的 身份 验证 方法 ,也 是 大 家 用 得 最 多 、 最 熟悉 
的 方法 ,在 前 面 已 经 有 所 介绍 。 

数字 证 书 验证 。 数 字 证 书 是 CA 认证 中 心 签发 的 用 于 对 用 户 进行 身份 验证 的 一 种 
“执照 ”。 数 字 证 书 的 内 容 在 4. 4. 2 节 中 介绍 。 

Security ID 验证 。Security ID 已 成 为 令 牌 身份 验证 事实 上 的 标准 ,许多 应 用 软件 都 
能 配置 成 支持 Security ID 作为 身份 验证 手段 的 模式 。Security ID 需要 有 一 个 能 够 
验证 用 户 身份 的 硬件 装置 (安全 卡 ) ,该 卡 上 有 一 个 显示 一 串 数字 的 液晶 屏幕 ,其 数 
字 每 分 钟 变化 一 次 。 用 户 在 登录 时 先 输入 自己 的 用 户 名 ,然后 输入 卡 上 显示 的 数 
字 。 系 统 通过 对 用 户 输入 的 数字 进行 验证 ,如 果 数 字 正 确 , 用 户 则 通过 了 身份 验证 ， 
即 可 进入 系统 了 。 

用 户 的 生理 特征 验证 。 该 验证 是 通过 对 用 户 人 体 的 一 处 或 多 处 生理 特征 检测 而 进 
行 的 验证 。 众 所 周知 ,每 个 人 的 指纹 是 不 一 样 的 ,因此 指纹 是 最 常见 的 人 体 特征 ,可 
用 来 进行 身份 验证 。 此 外 ,人 们 的 视网膜 、 面 部 轮廓 ,笔迹 、 声 音 等 都 可 作为 人 体 特 
征用 来 进行 身份 验证 。 

智能 卡 验证 。 智 能 卡 的 外 观 和 手感 就 像 一 张 信 用 卡 ,但 其 原理 就 像 一 台 小 型 计算 
机 。 智 能 卡 是 可 编程 的 , 卡 里 有 一 个 处 理 器 ,具有 存储 和 处 理 能 力 , 可 用 来 对 数值 进 
行 运算 ,可 无 数 次 地 接收 写 入 信息 ,可 下 载 应 用 软件 和 数据 ,然后 可 多 次 反复 地 使 用 
它 。 用 户 在 登录 计算 机 网 络 时 ,可 用 它 来 证 明 自 己 的 身份 。 不 仅 如 此 , 它 还 可 以 代 
蔡 身 份 证 ,旅行 证 件 、 信 用 卡 、 出 入 证 等 多 种 现代 生活 中 离 不 开 的 证 件 。 


@ 网 络 端口 和 节点 的 安全 控制 

网 络 中 服务 器 的 端口 往往 使 用 自动 回 呼 设备 、 静 默 调制 解 调 器 加 以 保护 ,并 以 加 密 的 形 
式 来 识别 节点 的 身份 。 自 动 回 呼 设备 用 于 防止 假冒 合法 用 户 , 静 默 调制 解 调 器 用 以 防范 黑 
客 的 自动 拨号 程序 对 计算 机 进行 的 攻击 。 网 络 还 常 对 服务 器 端 和 用 户 端 采取 控制 ,用 户 必 
须 携带 证 实 身份 的 验证 器 (如 智能 卡 、 磁 卡 、 安 全 密码 发 生 器 等 ) ,在 对 用 户 的 身份 进行 验证 
合法 之 后 , 才 允 许 用 户 进 入 用 户 端 。 然 后 ,用 户 端 和 服务 器 端 再 进行 相互 验证 。 


3. 
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2.2 网 络 操作 系统 漏洞 与 补丁 程序 
Windows 系统 的 安全 漏洞 


虽然 Windows NT 系统 采用 了 较 强 的 安全 性 规则 ,但 该 系统 还 是 存在 许多 安全 漏洞 。 
而 Windows 2000 系统 面世 不 久 , 就 被 发 现存 在 安全 漏洞 。 如 果 用 户 不 能 对 这 些 漏洞 进行 
及 时 的 补救 ,系统 就 可 能 被 攻击 ,造成 不 必要 的 损失 。 

Windows NT/2000 系统 有 如 下 常见 的 漏洞 。 


SAM 数据 库 漏洞 。 


第 3 章 ”网 络 操作 系统 安全 与 管理 实践 


SMB 协议 漏洞 。 

。 Registry 数据 库 权 限 漏洞 。 
。 权限 设置 漏洞 。 

。 建立 域 别名 漏洞 。 

登录 验证 机 制 漏洞 。 
NetBIOS 漏洞 。 

。 Telnet 漏洞 。 

。 奇怪 的 系统 骨 溃 漏洞 。 

。 IIS 服务 泄露 文件 内 容 。 

。 ICMP 漏洞 。 


2. 补丁 程序 


补丁 程序 是 指 对 于 大 型 软件 系统 (如 微软 操作 系统 ) 在 使 用 过 程 中 暴露 的 问题 (一 般 由 
黑客 或 病毒 设计 者 发 现 ) 而 发 布 的 解决 问题 的 小 程序 ,就 像 发 现 衣 服 有 破 洞 了 就 要 打 补 丁 一 
样 ,软件 的 补丁 用 来 修补 软件 程序 的 “漏洞 ”"。 因 为 软件 是 人 写 的 ,编程 人 员 在 编程 时 也 有 考 
虑 不 周 ,不 完善 的 地 方 , 软 件 会 出 现 BUG, 而 补丁 是 专门 修复 这 些 BUG 的 。 原 来 发 布 的 软 
件 存在 缺陷 ,发 现 之 后 另外 编制 一 个 小 程序 对 其 缺陷 进行 弥补 ,使 其 完善 ,这 种 小 程序 就 称 
为 “补丁 ”。 补 丁 是 由 软件 的 原作 者 制作 的 。 

补丁 程序 主要 有 系统 补丁 和 软件 补丁 。 系 统 补丁 顾名思义 就 是 操作 系统 的 不 定期 错误 
漏洞 修复 程序 ,如 微软 .UNIX、Linux 等 操作 系统 的 补丁 。 软 件 补 丁 通 常 是 因为 发 现 了 软件 
的 小 错误 ,为 了 修复 个 别 小 错误 而 推出 的 ,或 者 为 了 增强 某 些小 功能 而 发 布 的 ,或 者 是 为 了 
增强 文件 抵抗 计算 机 病毒 感染 而 发 布 的 补丁 ,如 微软 的 Office 为 了 抵抗 宏 病 毒 而 打 补 丁 。 


3. 补丁 程序 的 安装 


常用 的 “ 打 补 丁 ” 的 方法 有 两 种 , 即 利 用 软件 的 自动 更 新 (Update) 功 能 和 手工 操作 。 

(1) 利用 系统 的 Update 功能 打 补 丁 

如 果 软 件 提供 了 Update( 自 动 更 新 ) 功 能 , 打 补丁 就 是 一 件 非 常 简单 的 事情 ,只 需要 在 
“开始 ”菜单 中 找到 Update 命令 , 单 击 后 即 可 自动 上 网 搜索 官方 网 站 ,检查 有 无 最 新 版 本 或 
者 补丁 程序 。 

(2) 手工 打 补 丁 

多 数 补丁 需要 先 在 开发 商 网 站 或 软件 下 载 网 站 下 载 , 然 后 再 在 本 机 上 运行 相应 命令 来 
完成 。 有 些 补丁 需要 按照 一 定 操作 步 又 来 完成 ,因此 在 打 补 丁 之 前 要 先 仔细 阅读 其 说 明文 
档 , 以 免 产 生 错误 ,造成 不 可 挽回 的 损失 。 

一 些 重要 软件 产品 的 补丁 网 址 和 主要 公司 的 补丁 网 站 如 下 : 

Windows 2000 安全 补丁 (Windows 2000 Service Pack 2) 的 下 载 网 址 是 http:// 
www8. pconline. com. cn/download/swdetail. phtml? id 一 1746 。 

Windows 2000 安全 补丁 集 (Windows 2000 Security RollupPackage) 的 下 载 网 址 是 
http://202. 102. 231. 142/code/fixdown/down/download. asp? id=2209&tp=filename。 

微软 公司 的 补丁 网 站 是 http://www. microsoft. com/china/msdownload/? MSCOMTB= 
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MS_Products| ,Macromedia 公司 的 补丁 网 站 地 址 是 http://www. macromediachina. com/ 
downloads ,专门 的 补丁 网 站 地 址 是 http://www. mypatch. net。 


6E.3 网 络 操作 系统 的 安全 设置 实践 


3.3.1 Windows 系统 的 安全 设置 


目前 使 用 Windows 操作 系统 的 用 户 非 常 多 ,但 Windows 并 不 是 一 款 安全 的 操作 系统 。 
计算 机 病毒 .黑客 时 时 威胁 着 Windows 系统 ,因此 Windows 系统 的 安全 问题 越 来 越 受 到 人 
们 关注 。 虽 然 Windows 的 漏洞 众多 ,安全 隐患 也 很 多 ,但 经 过 适当 的 设置 和 调整 ,还 是 可 以 
使 Windows 系统 达到 相对 安全 的 。 下 面 介绍 Windows 系统 常见 的 安全 设置 方法 ,其 中 大 
部 分 操作 都 是 针对 Windows 2000/2003/XP 的 。 


1. 用 户 安全 设置 


(1) 管理 员 账 号 管理 
@ 创建 两 个 管理 员 账 号 
系统 可 创建 两 个 管理 员 账 号 ,一 个 是 具有 一 般 权 限 的 普通 账号 ,一 个 是 具有 最 高 权限 的 
Administrator。 平 时 利用 具有 一 般 权限 的 普通 账号 接收 信息 和 处 理 一 些 日 常事 务 ,而 
Administrator 只 在 特殊 需要 或 关键 时 刻 使 用 。 
@ 把 Administrator 账号 改名 并 创建 一 个 陷阱 账号 
众人 皆 知 Administrator 是 管理 员 账 号 ,为 了 不 使 其 成 为 众矢之的 ,有 效 地 防止 别人 对 
它 尝 试 攻 击 或 破译 ,可 将 Administrator 改 为 一 个 普通 的 名 字 ( 不 要 使 用 Admin)。 将 
Administrator 改名 后 ,再 创建 一 个 名 为 Administrator 的 本 地 账号 ,把 它 的 权限 设置 成 最 
低 ,并 为 其 设置 一 个 超级 复杂 密码 。 这 样 可 以 使 那些 别 有 企图 的 人 找 不 到 真正 的 管理 员 , 借 
此 还 有 可 能 发 现 它 们 的 和 人 侵 企图 。 
@ 使 用 安全 密码 
为 账号 选择 一 个 安全 密码 是 非常 重要 的 ,但 这 却 是 最 容易 被 忽略 的 。 一 些 部 门 的 管理 
员 创 建 账号 时 ,往往 用 公司 名 、 计 算 机 名 等 做 用 户 名 ,然后 又 把 这 些 账 号 的 密码 设置 得 很 简 
单 ,如 “welcome”、“iloveyou” 或 与 用 户 名 相同 。 用 户 在 首次 登录 时 就 应 该 为 这 些 账号 设置 
杂 的 密码 ,并 注意 经 常 更 换 这 些 密 码 。 
(2) 一 般 用 户 账号 管理 
@ 禁用 或 激活 用 户 账号 
。 使 用 计算 机 管理 员 身份 登录 ( 若 使 用 受 限 用 户 登 录 系 统 , 后 续 工 作 就 不 能 完成 : 如 
果 计 算 机 与 网 络 连接 , 则 网 络 策略 设置 也 可 以 阻止 用 户 完成 后 续 操 作 ) 。 
。 登录 系统 后 ,选择 菜单 “开始 ”程序 ”管理 工具 ”计算 机 管理 ", 打 开 * 计 算 机 
管理 ”窗口 。 依 次 展开 窗口 左 侧 列表 中 的 “计算 机 管理 (本 地 )”>“ 系 统 工具 ”一 “ 
地 用 户 和 组 ”>“ 用 户 ”, 这 时 在 窗口 右 侧 显示 了 系统 中 所 有 的 用 户 账号 ,如 图 3. 1 
所 示 。 
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三 计算 机 管理 

加 文件 四 ”操作 和) 查看 WD 窗口 如 帮助 0 
和 小 | 和 | 国 |X 办 刀鱼 困 

加 


旦 


远程 点 面 助手 账户 
gaz 


CH-Microsoft Corpora 


图 3.1 显示 系统 中 所 有 的 用 户 账号 


。 如 果 管 理 员 想 禁用 哪个 用 户 账 号 ,可 以 选中 该 用 户 账号 ,然后 单 击 鼠 标 右键 ,在 弹出 
的 菜单 中 选择 “属性 ”, 打 开 该 账号 的 “属性 "窗口 。 在 该 窗口 的 “常规 ”标签 中 选择 
“账号 已 停 用 ” 复 选 框 ,如 图 3. 2 所 示 。 然 后 单 击 “ 确 定 ” 按 钮 ,这 样 此 账号 就 被 禁用 
了 。 如 果 想 激活 被 禁用 的 账号 ,可 以 将 “账号 已 停 用 ” 复 选 框 的 选择 取消 , 即 可 激活 
该 用 户 。 


@ 为 账号 双重 加 密 
用 户 可 使 用 系统 的 组 策略 工具 对 用 户 账号 密码 设置 进行 限制 ,这 样 可 保护 自己 的 账号 
安全 。 
。 在 “开始 ”一 运行 ?对 话 框 中 输入 syskey, 按 回 车 键 后 可 打开 “保证 Windows XP 账 
号 数据 库 的 安全 ”对 话 框 ,如 图 3. 3 所 示 。 该 项 操作 是 不 可 道 的 ,一 旦 启用 加 密 则 不 
可 以 禁用 。 在 这 里 若 直接 选中 * 启 用 加 密 ? 选 项 ,并 单 击 “ 确 定 ? 按 钮 ,程序 就 对 账号 完 
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成 了 双重 加 密 , 只 不 过 该 加 密 过 程 对 用 户 来 说 是 透明 的 。 
。 如 果 用 户 想 进一步 体验 这 种 双重 加 密 功 能 , 则 可 在 “保证 Windows XP 账号 数据 库 
的 安全 ”对 话 框 中 单 击 “ 更 新 "按钮 ,打开 “启动 密码 ”对话 框 ,如 图 3.4 所 示 。 在 这 里 
有 “密码 启动 "和 “系统 产生 的 密码 ”两 个 选项 。 
若 选 择 “ 密 码 启 动 ” 则 需要 自己 设置 一 个 密码 ,这 样 在 登录 Windows XP 之 前 要 先 输入 
该 密码 然后 才能 选择 登录 的 账号 。 


保证 Windows XP 账号 数据 库 的 安全 | 
Bl Mi" 


一 旦 启用 这 个 加 密 就 不 能 禁用 。 


人 系统 产生 的 密码 (8) 


个 在 软盘 上 保存 启动 密码 中 ) 
在 系统 启动 时 需要 键入 一 个 软盘 。 


| 
取 清 更 新 中 


Ca |] we | 
图 3.3 为 账号 双重 加 密 图 3.4 “启动 密码 ”对 话 框 


在 “系统 产生 的 密码 ”选项 下 又 有 两 个 选项 。 若 选择 “在 本 机 上 保存 启动 密码 ”选项 , 则 
程序 仅 在 后 台 完 成 加 密 过 程 。 在 登录 时 不 需要 输入 任何 密码 ,因为 密码 就 保存 在 计算 机 内 
部 。 如 果 用 户 对 安全 保密 要 求 比较 高 , 则 可 以 选择 “在 软盘 上 保存 启动 密码 "选项 , 单 击 “ 确 
定 ” 按 钮 后 , 就 会 有 提示 在 软驱 里 放 入 一 张 软盘 。 创 建 完毕 ,会 在 软盘 上 生成 一 个 
StartKey. key 文件 ,以 后 每 次 开机 时 则 必须 放 入 该 软盘 才能 登录 ,相当 于 系统 有 了 一 张 可 
以 随身 携带 的 钥匙 盘 。 

G) 重 命名 和 禁用 默认 的 账号 

安装 好 Windows 后 ,系统 会 自动 建立 两 个 账号 : Administrator 和 Guest, 其 中 
Administrator 是 管理 员 账 号 , 它 拥 有 最 高 的 权限 ; Guest 是 来 宾 账号 , 它 只 有 基本 的 权限 且 
默认 是 禁用 的 。 而 这 种 默认 账号 在 为 用 户 带 来 方便 的 同时 也 严重 危害 到 了 系统 安全 。 因 
此 ,安全 的 做 法 是 把 Administrator 账号 的 名 称 改 掉 ,然后 再 建立 一 个 几乎 没有 任何 权限 的 
假 Administrator 账号 ,以 迷惑 入侵 者 。 具 体操 作 如 下 : 

。 选择 菜单 “开始 ”一 “运行 ”, 输 入 secpol. msc 后 按 回 车 键 ,打开 “本 地 安全 设置 ”对 


话 框 。 
。 依 次 展开 “本 地 策略 ”一 “安全 选项 ”, 在 右 侧 窗口 有 一 个 “账号 : 重 命名 系统 管理 员 
账号 ”的 策略 。 


。 双 击 打开 后 可 以 给 Administrator 重新 设置 一 个 不 是 很 引 人 注 目的 用 户 名 (如 
ABCD) ,如 图 3.5 所 示 。 
然后 还 可 以 再 新 建 一 个 名 称 为 Administrator 的 受 限制 用 户 , 以 假 乱 真 。 
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账号 重 命 名 季 统 管理 员 账 号 晨 性 
本 地 安全 设置 


加 账号 : 重 命名 系统 管 理 员 账号 


电 人 审核 策略 

回国 用户 权利 指派 
由 加 公 名 和 本 yl 
由 国 软件 限制 第 咯 3 要 

电 全 安全 策略 ,在 本 地 计算 机 | 国 ] 二 控制 吕 :拒绝 更 9 


ED CE CE 
| 


Adninistrator 


3.5 Administrator 重 命名 设置 


@ 删除 不 必要 的 用 户 账号 

Guest 账号 很 容易 被 人 侵 者 用 来 攻击 系统 ,因此 ,为 了 安全 起 见 , 可 以 考虑 将 该 账号 停 
掉 , 任 何 时 候 都 不 允许 Guest 账号 登录 系统 。 

管理 员 可 利用 用 户 组 策略 设置 相应 权限 ,并 经 常 检查 系统 账号 ,删除 已 经 不 用 的 账号 。 
因为 这 些 无 用 账号 很 多 时 候 都 是 黑客 入 侵 系 统 的 突破 口 ,系统 的 账号 越 多 ,黑客 得 到 合法 用 
户 的 权限 可 能 性 一 般 也 就 越 大 。 为 了 安全 起 见 , 限 制 系统 中 的 用 户 数量 是 必要 的 ,因此 可 以 
将 系统 中 的 duplicateuser 账号 .测试 用 账号 .共享 账号 等 删除 。 

(3) 用 户 登 录 和 密码 安全 

Q@@ Administrator 账号 登录 

在 Windows XP 下 ,如 果 建 立 了 一 个 新 的 非 受 限制 用 户 ( 计 算 机 管理 员 , 如 QAZ) ,下 次 
登录 计算 机 时 ,将 不 会 出 现 Administrator 超级 用 户 的 登录 入 口 了 。 当 必须 使 用 
Administrator 账号 登录 时 ,可 以 采用 以 下 方法 : 

以 现 有 的 计算 机 管理 员 QAZ 账号 登录 ,选择 菜单 “程序 ”一 “管理 工具 ”一 “计算 机 管 
理 ” 一 系统 工具 ”一 “本 地 用 户 和 组 ”, 然 后 单 击 * 用 户 ”, 即 可 看 到 Administrator 账号 ,如 
图 3.6 所 示 。 


挟 计算 机 管理 
国 文件 四 ”操作 ) 查看 WW) 窗口 习 帮助 0 


远程 点 面 助手 账户 
本 
CNMierosoft Corpora .。 这 是 一 个 帮助 和 3 


图 3.6 本 地 计算 机 用 户 
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将 当前 的 计算 机 管理 员 账 号 QAZ 停 用 或 删除 后 .就 可 以 用 Administrator 用 户 登 录 
了 。 其 操作 为 : 右 击 QAZ, 选 择 “ 属 性 ”选项 , 勾 选 “账号 已 停 用 ” 复 选 框 后 , 单 击 “ 确 定 ” 按 
钮 ,这 样 就 停 用 了 该 账号 。 停 用 后 的 该 账号 前 有 个 红色 的 又 号 显示 ,如 图 3.6 所 示 。 这 样 重 
新 启动 计算 机 时 就 会 出 现 Administrator 账号 的 登录 入 口 了 。 

@@ 找 回 Administrator 账号 密码 

Windows XP 安装 在 NTFS 分 区 上 。 在 使 用 故障 修复 控制 台 时 ,程序 要 求 输入 
Administrator 的 密码 ,但 此 时 却 忘 记 了 密码 (安装 Windows XP 时 设置 了 密码 )。 可 用 以 下 
方法 找 回 Administrator 的 密码 。 

。 若 能 正常 进入 Windows XP, 则 使 用 具有 a 
管理 员 权限 的 账号 登录 Windows XP, 然 | jusno 
后 打开 如 图 3. 6 所 示 的 计算 机 本 地 用 户 “| 人 和 mg -ER 
栏 ,可 以 看 到 当前 系统 里 存在 的 全 部 账 ，、 “二 保 的 
号 。 右 击 Administrator, 选择 “设置 密 。 所 而 此 用 户 他 的 宙 友 重 设 要 和 不 生起 作用 。 

码 ”, 然 后 按照 屏幕 提示 操作 即 可 重新 | 各 可 “iyo， 9 克基 8 全。 
设置 密码 ,如 图 3.7 所 示 。 
车 无 法 正常 进入 Windows XP, 如 果 可 CE Iw 
以 使 用 命令 行 安全 模式 , 则 可 用 具有 管 图 3.7 重新 设置 密码 

理 权限 的 账号 登录 ,使 用 NETUSER 

命令 修改 密码 ,格式 为 “NETUSERAdministrator( 输 入 你 的 新 密码 )”, 然 后 按 回 车 
键 即 可 。 

如 果 连 命令 行 安全 模式 都 无 法 进入 ,那么 只 有 使 用 安装 光盘 选择 修复 了 。 用 安装 光 
盘 启 动 系统 时 ,在 安装 程序 选择 菜单 上 选择 “现在 运行 安装 Windows” ,然后 选择 “ 修 
复 ” 开 始 修 复 程序 。 修 复 过 程 类 似 于 Windows 98 的 覆盖 安装 ,修复 中 会 要 求 重新 
创建 密码 ,而 且 已 经 安装 的 软件 仍然 可 以 继续 使 用 。 

@@ 找 回 丢失 的 系统 密码 

当 管理 员 密码 丢失 或 被 改动 ,可 采用 以 下 方法 恢复 。 

第 1 种 方法 从 SAM 文件 中 破解 密码 。 

SAM 文件 是 Windows XP 的 用 户 账号 数据 库 , 所 有 Windows XP 用 户 的 登录 名 及 口令 
等 相关 信息 都 保存 在 该 文件 中 。SAM 文件 位 于 “C:\system32\config\sam” 路 径 下 ,如 果 删 
除了 SAM 文件 ,在 登录 XP 时 就 不 需要 密码 了 ,但 是 账号 中 包含 的 一 些 信息 (如 所 创建 的 用 
户 及 用 户 组 ) 也 随 之 丢失 。 

第 1 步 : 将 丢失 账号 的 硬盘 接 到 正常 系统 中 ,然后 运行 LC4( 一 款 暴 力 破解 软件 ) ,在 程 
序 界面 的 菜单 上 选择 菜单 Flie> NewSession 来 新 建 一 个 任务 ,接着 选择 菜单 Import 一 
ImportfromSA Mfile。 

第 2 步 : 在 弹出 的 对 话 框 中 找到 并 打开 待 破解 的 SAM 文件 ,此 时 LC4 会 自动 分 析 此 
文件 ,并 显示 文件 中 的 用 户 名 ,确认 这 个 账号 是 欲 破解 的 目标 后 , 单 击 Session 一 BeginAudit 
菜单 命令 即 可 开始 破解 密码 。 如 果 密 码 不 是 很 复杂 .很 快 就 能 得 到 结果 ; 如 果 密 码 比较 复 
杂 , 需 要 的 时 间 会 较 长 。 


为 Administrator 
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第 2 种 方法 利用 密码 重 设 盘 恢 复 密码 。 
第 1 步 : 打开 “控制 面板 ”窗口 ,选择 “用户 账号 ”, 单 击 欲 备份 密码 的 账号 ,在 弹出 的 账 
号 操作 窗口 中 “相关 任务 ” 栏 下 方 , 单 击 “ 阻 止 一 个 已 忘记 的 密码 ”选项 ,如 图 3. 8 所 示 。 


管理 我 的 网 络 密 码 
阻止 一 个 已 态 记 的 密码 
更 改 另 一 个 账 己 
创建 一 个 新 账户 


欢迎 使 用 忘记 密码 向 导 


了 解 
国 正在 删除 您 自己 的 账户 


此 疝 导 帮助 人 人 建 一 个 “密码 重 设 梨 ”， 加 果 您 记 
PE 人 镀 王 中， 0 
一 个 .IET Passpor 


二 无 沦 修 更 疏 寥 码 多 少 次 ， 您 只 需要 创建 此 盘 一 
次 。 


姥 任何 人 都 可 以 用 此 盘 重 设 密 码 ， 并 由 此 访问 此 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 3.8 进入 “忘记 密码 向 导 ” 


第 2 步 : 打开 “忘记 密码 向 导 ” 对 话 框 , 单 击 " 下 一 步 ”按钮 ,根据 提示 在 软驱 中 插入 一 张 
空 自已 格式 化 的 软盘 , 单 击 * 下 一 步 ?按钮 ,输入 当前 账号 的 密码 ,再 次 单 击 * 下 一 步 "按钮 , 即 
可 完成 密码 重 设 磁盘 的 创建 ,如 图 3.9 所 示 。 


当前 用 户 账 户 及 
pwpmamsa. dP 


确 兴 丙 银 仍然 在 引 动 器 中 ,然后 欠 入 当前 用 户 的 账户 窑 码 。 如 果 此 账 
和 


当前 用 户 账户 密码 C) 
IDD 


wT | 取消 ”] 


图 3.9 输入 当前 账号 密码 
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第 3 步 : 当 忘记 密码 需要 使 用 密码 重 设 盘 时 ,可 先 启动 Windows XP, 在 出 现 录入 窗口 
时 , 单 击 用 户 名 ,然后 随意 输入 密码 。 由 于 输入 密码 错误 ,所 以 系统 会 给 出 “没有 记 住 密码 ?” 
的 提示 ,这 时 利用 生成 的 密码 重 设 盘 ,根据 提示 即 可 进行 密码 的 恢复 工作 了 。 


2. 系统 安全 设置 


(1) 使 用 文件 加 密 系 统 EFS 
Windows 系统 强大 的 文件 加 密 功 能 可 给 磁盘 、 文 件 夹 和 文件 加 上 一 层 安 全 保护 。 这 样 
可 以 防止 别人 把 用 户 的 硬盘 挂 到 别 的 机 器 上 以 读 出 里 面 的 数据 。 有关 EFS 的 内 容 可 见 
5.2 节 。 
(2) 目录 和 文件 权限 设置 
@ 访问 权限 设置 
先 创建 一 个 用 户 组 ,以 后 所 有 站 点 的 用 户 都 建 在 这 个 组 里 ; 再 设置 该 组 在 各 个 分 区 没 
有 权限 或 者 完全 拒绝 ; 然后 设置 各 用 户 在 各 自 文件 夹 里 的 权限 。 
。 对 Windows 用 户 ,在 系统 中 可 按 用 户 ( 组 ) 来 划分 权限 。 选 择 菜 单 “ 开 始 ” 一 “程序 ”一 
“管理 工具 ”一 “计算 机 管理 (本 地 )” 一 “本 地 用 户 和 组 ”, 在 这 里 可 详细 管理 系统 用 户 
和 用 户 组 。 
。 NTFS 权限 设置 。 分 区 时 可 把 所 有 的 硬盘 都 分 为 NTFS 分 区 ,然后 确定 每 个 分 区 对 
每 个 用 户 开放 的 权限 。 右 击 要 设 定 权 限 的 文件 或 文件 夹 ,选择 * 属 性 ”一 “安全 ” 标 
签 , 在 这 里 可 管理 NTFS 文 件 ( 夹 ) 权 限 。 
@ 设置 文件 共享 权限 
在 局 域 网 中 ,经 常 要 进行 访问 或 互相 交换 文件 。 但 是 在 Windows XP 系统 的 常规 共享 
设置 中 只 可 以 设置 成 只 读 共享 和 完全 共享 ,没有 共享 权限 设置 ,这 直接 影响 到 共享 文件 的 安 
全 性 。 而 在 Windows 2000 的 共享 设置 中 也 不 能 像 Windows 98 一 样 直接 设置 访问 密码 。 


其 实在 Windows 2000/XP 中 是 能 设置 共享 密 
码 的 ,只 不 过 操作 方法 不 同 而 已 。 ps 
。 简单 文件 共享 Ra 
打开 “我 的 电脑 "窗口 ,依次 选择 菜单 “ 工 和 
具 ” 一 “文件 夹 选项 ”, 打 开 * 文 件 夹 选项 ”对话 RR ] 
框 ,选择 “查看 "选项 卡 ,在 “高 级 设置 "列表 中 选 | 和光 本 和 面 
择 “ 使 用 简单 文件 共享 (推荐 )" 复 选 框 ,如 图 3. 10 En lL 
所 示 。 8 有 和 人生 人 人生 二 | | 
启动 Guest 账号 作为 一 文件 显示 和 和 更 对 
在 系统 的 默认 状况 下 , Guest 账号 是 没有 a 
启用 的 。 如 要 想 让 局 域 网 中 的 其 他 用 户 能 访问 回 隐 敬 受 保护 的 拘 作 系统 文件 推荐 ) 加 
你 的 计算 机 ,首先 就 得 启用 该 帐号。 选择 “控制 Ee 
面板 ”>“ 用 户 账 号 ”菜单 , 单 击 界面 中 的 “Guest 
账号 ”, 然 后 再 单 击 “ 启 用 来 宾 账 号 ”按钮 , 即 可 CC 本 Ca CR 


完成 Guest 账号 的 启动 ,如 图 3. 11 所 示 。 图 3. 10 简单 文件 共享 
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宾 账 号 吗 ? 


如 果 您 启用 来 宾 账 号 ， 设 有 账号 的 人 可 以 用 来 宾 账 号 登 
计算 机 。 受 密码 保护 的 文件 


， 文件 殉 或 设置 不 能 
被 来 宾 用 户 访 问 。 


国 使 用 来 宾 几 号 


3.11 启动 Guest 账号 


。 添加 共享 访问 用 户 

由 于 用 户 在 访问 共享 资源 时 ,需要 根据 不 同 的 用 户 设置 不 同 的 访问 权限 ,所 以 在 这 里 所 
添加 的 共享 访问 用 户 也 要 设置 多 个 权限 的 用 户 和 密码 ,以 供用 户 访问 。 

第 1 步 : 打开 * 控 制 面板 ”中 的 “用 户 账号 ”, 单 击 * 创 建 一 个 新 账号 ”, 这 时 会 提示 为 新 账 
号 键入 一 个 名 称 ,输入 一 个 要 创建 的 用 户 名 (如 ABCD) , 单 击 * 下 一 步 ? 按 钮 ,然后 系统 会 提 
示 选 择 账号 类 型 ,有 计算 机 管理 员 和 受 限 用 户 两 个 账号 类 型 供 选 择 。 鉴 于 安全 考虑 ,选择 创 
建 受 限 用 户 , 如 图 3. 12 所 示 。 


4 用 户 账号 


〇 计算 机 管理 员 办) 
人 
作 的 生机 
. Er 主题 和 其 地 


。 查看 您 创建 的 文件 
。 在 共享 文档 文件 来 中 查看 文 


图 3.12 创建 受 限 账号 


第 2 步 : 完成 以 上 操作 后 ,在 “用 户 账号 ”的 主 界面 中 就 多 了 一 个 “ABCD” 受 限 账 号 ,如 
图 3. 13 所 示 。 然 后 再 为 该 用 户 设置 访问 密码 。 在 “用 户 账号 主 界面 中 单 击 “ABCD? 账 号 ， 
再 单 击 “ 创 建 密码 ”, 进 入 创建 密码 对 话 框 。 在 为 ABCD 用 户 创 建 密码 对 话 框 中 输入 并 验证 
新 创建 账号 的 密码 ,并 设置 一 个 密码 提示 语 ,最 后 单 击 “ 创 建 密码 ”按钮 即 可 ,如 图 3. 14 
所 示 。 

。 设置 共享 资源 

在 完成 以 上 操作 后 ,就 可 以 设置 共享 了 。 

第 1 步 : 选择 一 个 要 共享 的 文件 或 文件 夹 并 右 击 ,选择 “共享 和 安全 ”, 这 时 的 界面 已 与 
先前 共享 的 界面 不 同 了 ,多 了 “权限 "和 "缓存 ”设置 项 。 

第 2 步 : 选择 "共享 该 文件 夹 ”, 单 击 * 权 限 ” 按 钮 ,在 “权限 ?设置 窗口 中 先 删除 已 有 的 
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Bl] 


国 妆 一 人 新 账 


已 ] 要 用 户 登录 或 注销 的 方式 


或 挑 一 个 账号 做 更 改 


AZ ABCD 
计算 机 管理 员 受 限 的 帐户 
密码 保护 a 


Guest 
来 宾 帐 户 处 于 启用 状态 


为 ABCD 的 账号 创建 一 个 密码 
旬 建 一 个 实 全 乾 | 修正 在 为 ABCD 创 嫂 密码 ， 如 果 效 这 样 和 

加 oe 臣 本 的 广 和， A 
国 示 oth 


团 Et 一 人 到 要 防止 在 将 来 丢失 数据 ， 要 求 ABCD 制作 一 张 密码 重 设 软盘 。 
一 个 | 


纺 入 一 个 新 密码 : 
oooooeee 

再 次 输入 密码 以 确认 

CCID 

加 果 密码 包 合 大 写字 母 ， 它 们 每 次 痢 必 须 以 相同 的 大 小 写 方式 答 入 。 
输入 一 个 单 记 或 短语 作为 密码 提 示 

‘ello 


所 有 使 用 这 台 计 算 机 的 人 都 可 以 看 见 密码 提示 。 


图 3.14 为 ABCD 账号 设置 密码 


“Everyone”, 接 着 添加 刚才 所 创建 的 用 户 。 依 次 单 击 “ 添 加 ”一 “高 级 ”一 “立即 查找 ”菜单 命 
令 ,搜索 系统 中 已 有 的 用 户 和 组 。 最 后 在 界面 下 方 的 用 户 和 组 的 列表 中 选择 “ABCD” 账 号 ， 
单 击 两 次 “确定 ”按钮 回 到 权限 设置 窗口 。 

@ 设 定安 全 记录 的 访问 权限 

在 默认 情况 下 安全 记录 是 没有 保护 的 ,可 把 它 设 置 成 只 有 Administrator 和 系统 账号 才 
有 权 访 问 。 

(3) 备份 系统 和 数据 

用 ghost 软件 及 时 对 C 盘 做 好 备份 ,并 用 KV2008、PQ 等 软件 将 硬盘 的 分 区 表 进 行 备 
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份 。 同 时 ,还 需要 制作 一 张 启动 盘 以 便 必要 时 使 用 。 

使 用 ntbackup 软件 备份 系统 状态 ,使 用 reg. exe 备份 系统 关键 数据 ,如 reg export 
HKLM\SOFTWARE\ODBC e:\backup\system\odbc. reg/y, 即 可 将 SOFTWARE 下 的 
ODBC 文件 备份 到 下 盘 。 

(4) 安装 系统 补丁 程序 

安装 系统 补丁 的 重要 性 是 不 言 而 喻 的 ,尤其 是 一 些 重要 的 安全 补丁 和 针对 IE、OF 漏洞 
的 补丁 。 尽 量 安装 最 新 的 操作 系统 和 浏览 器 ,并 通过 下 载 安装 补丁 对 系统 进行 升级 。 
Microsoft 会 经 常 发 布 一 些 已 知 漏洞 的 修补 程序 ,这 些 程序 一 般 都 可 以 通过 Windows 
Update 来 安装 (可 经 常 性 地 访问 Windows Update 网 站 或 者 直接 单 击 “开始 ”菜单 中 
Windows Update 的 快捷 方式 )。 而 Windows XP 和 最 新 的 Windows 2000 更 加 先进 了 ,可 
以 自动 检查 更 新 ,在 后 台 下 载 , 完 成 后 通知 下 载 完 成 并 询问 是 否 开 始 安 装 。 对 于 Windows 
2000/XP 的 用 户 , Microsoft 还 提供 了 一 个 检查 安全 性 的 实用 工具 一 一 基准 安全 分 析 器 
(Microsoft Baseline Security Analyzer) 。 该 程序 可 以 自动 对 用 户 的 系统 进行 安全 性 检测 ， 
并 且 对 于 出 现 的 问题 ,都 可 以 提供 一 个 完整 的 解决 方案 , 它 非常 适合 对 于 安全 性 要 求 高 的 用 
户 使 用 。 

(5) 禁止 管理 共享 

进入 注册 表 , 打开 HKEY _ LOCAL_ MACHINE\SYSTEM \\CurrentControlSet \ 
Services\LanmanServer\Parameters 项 。 对 于 服务 器 ,添加 键 值 AutoShareServer, 类 型 为 
REG_DWORD, 其 值 为 0。 对 于 客户 机 ,添加 键 值 AutoShareWks, 类 型 为 REG_DWORD， 
其 值 为 0。 

(6) 设置 屏幕 保护 密码 

设置 屏幕 保护 密码 是 很 必要 的 ,操作 也 很 简单 ,这 也 是 防止 内 部 人 员 破 坏 服务 器 的 一 个 
屏障 。 屏 幕 保护 密码 不 需要 很 复杂 ,因为 没 必 要 浪费 很 多 系统 资源 。 系 统 用 户 所 使 用 的 机 
器 最 好 也 加 上 屏幕 保护 密码 。 

(7) 防范 SYN 攻击 

系统 可 使 用 SYN 淹没 攻击 保护 ,进入 注册 表 , 打 开 HKLM\SYSTEM\CurrentControlSet\ 
Service\Tcpip\Parameters, 相 关 的 值 项 如 下 : 

。DWORD: SynAttackProtect 定义 了 是 否 允 许 SYN 淹没 攻击 保护 , 值 为 *1” 表 示 允 

许 启 用 Windows 2000 的 SYN 淹没 攻击 保护 。 

。 DWORD: TcpMaxConnectResponseRetransmissions 定义 了 对 于 连接 请 求 回应 包 
的 重 发 次 数 。 值 为 "1”, 则 SYN 浴 没 攻击 不 会 有 效果 ,但 是 这 样 会 使 连接 请 求 失 败 
的 概率 增 大 。SYN 浴 没 攻击 保护 只 有 在 该 值 宇 2 时 才 会 被 启用 ,默认 值 为 3。 

。DWORD: TcpMaxHalfOpen 定义 了 能 够 处 于 SYN_RECEIVED 状态 的 TCP 连 
接 数目 ,默认 值 为 100。 

。 TcepMaxHalfOpenRetried 定义 了 在 重新 发 送 连接 请 求 后 , 仍 处 于 SYN_RECEIVED 

状态 的 TCP 连接 数目 ,默认 值 为 80 。 

。 TcpMaxPortsExhausted 定义 了 系统 拒绝 连接 请 求 的 次 数 ,默认 值 为 5。 

上 述 前 两 项 定义 了 是 否 允 许 SYN 渡 没 攻击 保护 ,后 三 项 定义 了 激活 SYN 浴 没 攻击 保 
护 的 条 件 , 满 足 其 中 之 一 , 则 系统 自动 激活 SYN 活 没 攻击 保护 。 
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(8) 预防 DoS 

进入 注册 表 , 打 开 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters， 
更 改 以 下 值 可 以 防御 一 定 强 度 的 DoS 攻击 : 

SynAttackProtectREG_ DWORD 2 

EnablePMTUDiscoveryREG_ DWORDO 

NoNameReleaseOnDemandREG DWORD 1 

EnableDeadGWDetectREG_ DWORD 0 

KeepAliveTimeREG DWORD300, 000 


PerformRouterDiscoveryREG DWORD 0 
EnableICMPRedirectsREG DWORD 0 


(9) 加 密 temp 文件 夹 

一 些 应 用 程序 在 安装 和 升级 的 时 候 ,会 把 一 些 内 容 复 制 到 temp 文件 夹 下 ,但 是 当 程 序 
升级 完毕 或 关闭 时 ,并 不 会 自动 清除 temp 文件 夹 中 的 内 容 。 所 以 ,给 temp 文件 夹 加 密 也 
可 使 文件 多 一 层 保护 。 

(10) 清空 远程 可 访问 的 注册 表 路 径 

Windows 2003 系统 提供 了 注册 表 的 远程 访问 功能 。 当 将 远程 可 访问 的 注册 表 路 径 设 
置 为 空 时 ,才能 有 效 地 防止 黑客 利用 扫描 器 通过 远程 注册 表 读 取 计 算 机 的 系统 信息 。 设 置 
远程 可 访问 的 注册 表 路 径 为 空 的 步 又 如 下 : 

QO@ 选择 “开始 "一 “运行 ”菜单 命令 ,输入 gpedit. msc, 确 认 后 打开 组 策略 编辑 器 。 

@ 在 组 策略 中 ,展开 * 计 算 机 配置 ”Windows 设置 ”>“ 安 全 设置 ”>“ 本 地 策略 ”。 

@@ 单 击 “ 安 全 选项 ”, 在 右 侧 窗口 中 找到 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 ”, 并 双 
击 之 ,如 图 3.15 所 示 。 


文件 到 换 作 必 ) 查看 Y) 帮助 0 络 访 访问 的 注册 表 路 径 属性 
路 | 因 | 国 |X 办 甩 | 名 图 ET 

二 地 计算 机 ”第 略 MN 2 时 有 访问， 可 运程 访问 的 注册 素 路 径 
国 | 了 6 安全 设置 ， 基 于 ITUI SSP (包括 安 

加 3 访问， 本 地 陈 呈 的 共 训 和 安全 模式 
国 8 访问 -不 公主 SA 隆 号 的 村 名 术 学 
加 Fa 访问 不 允许 SM 账号 和 共享 
贺 RE 访问 - 不 允许 为 网 2 身份 验证 储存 
项 了 访问 - 可 匿名 访问 的 共享 


辆 访问 2 ee es 


EM 
。 2 灶 


国 R 需要 强 findors 2000 职 愉 
控制 器 :LDAP 服务 器 从 名 要 求 
] 直 控制 器 、 革 用 更 改 机 器 账号 窒 码 
国 直 择机 器。 拒 拍 更改 机 器 几 号 灾 码 


图 3.15 进入 远程 可 访问 的 注册 表 路 径 


@ 在 打开 的 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 属性 ”窗口 中 ,将 可 远程 访问 的 注册 
表 路 径 和 子路 径 内 容 全 部 设置 为 空 ,再 单 击 “ 确 定 ” 按 钮 即 可 。 
另外 ,在 进行 安全 设置 中 ,对 如 图 3. 15 所 示 的 本 地 策略 的 安全 选项 设置 可 以 考虑 将 “网 
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络 访问 : 可 匿名 访问 的 共享 "“ 网 络 访问 : 可 匿名 访问 的 命名 管道 "和 “网 络 访问 : 可 远程 访 
问 的 注册 表 路 径 ” 三 项 全 部 删除 ; 将 “网 络 访问 : 不 允许 SAM 账号 的 匿名 枚 举 ?“ 网 络 访 
问 : 不 允许 SAM 账号 和 共享 的 匿名 枚 举 ”“ 网 络 访问 : 不 允许 为 网 络 身 份 验证 储存 凭据 或 
.NET Passports” 和 “网 络 访问 : 限制 匿名 访问 命名 管道 和 共享 ”四 项 更 改 为 “已 启用 ”。 

(11) 利用 “密码 策略 ”设置 可 靠 的 密码 

尽管 绝对 安全 的 密码 是 不 存在 的 ,但 是 相对 安全 的 密码 还 是 可 以 实现 的 。 这 还 需要 运 
行 secpol. msc 来 配置 “本 地 安全 设置 "。 展 开 “ 账 户 策略 ”一 “密码 策略 ”, 如 图 3. 16 和 
图 3.17 所 示 。 经 过 对 这 里 策略 的 配置 ,就 可 以 建立 一 个 完备 密码 策略 ,使 密码 可 以 得 到 最 
大 限度 的 保护 。 账 号 密码 配置 如 下 : 


人 本 地 帐户 的 共享 和 安全 模式 

日 全 审核 不 允许 sMl 账号 的 匿名 术 举 

辐 便 用户 权利 措 洲 不 允许 sia 账号 和 
Ee 交 洗 SAM 账号 和 寺 训 的 芒 名 权 举 


不 允许 为 网 络 身份 壮 证 储存 凭据 或 .WET Fassports 
| 可 大 名 访问 的 共 训 COMCFG, DPSS 
晶 !? 安全 第 略 ， 在 本 地 计算 机 可 匿名 访问 的 命名 管道 COMNAP, COWNDDE, 
EE 问 ; 可 远程 访问 的 注册 表 路 径 Systen\CurrentC. 
让 “每 个 人 ”权限 应 用 于 外 名 用 户 
区 许 芽 名 SID/ 名 称 转换 
对 非 和 indows 子 系统 不 要 求 区 分 大 小 写 
由 Adninistrators 组 成 员 所 创建 的 对 象 轩 认 所 有 者 
增强 内 部 系统 对 象 的 款 认 权限 “例如 Sysbolic Links) 
区 EEETS FIPS 兼容 的 算法 来 加 密 ， 数 列 和 签名 
区 域 成 员 ， 对 安全 请 首 激 撒 讲 行 宪 宇 加 宗 _fbn 里 可 能 ) 


图 3.17 账号 的 密码 配置 


@ 强制 密码 历史 

该 设置 决定 了 保存 用 户 曾经 用 过 的 密码 个 数 。 很 多 人 知道 要 经 常 性 的 更 换 自己 的 密 
码 , 可 是 换 来 换 去 就 是 有 限 的 几 个 在 轮换 。 配 置 该 策略 就 可 以 知道 用 户 更 换 的 密码 是 否 是 
以 前 曾经 使 用 过 的 。 默 认 情 况 下 ,该 策略 不 保存 用 户 的 密码 ,用 户 可 以 自己 设置 ,建议 保存 
5 个 以 上 (最 多 可 以 保存 24 个 )。 

@ 密码 最 长 存留 期 

该 策略 决定 了 一 个 密码 可 以 使 用 多 久 , 之 后 就 会 过 期 ,并 要 求 用 户 更 换 密码 。 如 果 设 置 
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为 0, 则 密码 永 不 过 期 。 一 般 情况 下 设置 为 30 一 60 天 就 可 以 了 ,最 长 可 以 设置 999 天 。 具 
体 的 过 期 时 间 要 看 系统 对 安全 要 求 的 严格 程度 。 


@ 密码 最 短 存留 期 
该 策略 决定 了 一 个 密码 要 在 使 用 多 久之 后 才能 再 次 被 使 用 。 如 果 设 置 为 0, 则 表示 一 
个 密码 可 以 被 无 限制 地 重复 使 用 。 


@ 密码 长 度 最 小 值 

该 策略 决定 了 一 个 密码 的 长 度 , 有 效 值 在 0 一 14 之 间 。 如 果 设 置 为 0, 则 表示 不 需要 密 
码 ; 该 数字 越 大 ,表示 密码 的 位 数 越 多 ,密码 安全 程度 越 高 。 建 议 的 密码 长 度 二 6 位 。 

@ 密码 必须 符合 复杂 性 要 求 

如 果 启 用 了 该 策略 , 则 在 设置 和 更 改 密码 时 ,系统 将 会 按照 一 定 的 规则 检查 密码 是 否 
有 效 。 

@ 为 域 中 所 有 用 户 使 用 可 还 原 的 加 密 来 储存 密码 。 很 明显 ,该 策略 最 好 不 要 启用 。 

(12) 删除 默认 共享 

使 用 Windows 2003 的 用 户 都 会 碰 到 一 个 问题 ,就 是 系统 在 默认 安装 时 都 会 产生 默认 
的 共享 文件 夹 。 虽 然 用 户 并 没有 设置 共享 ,但 每 个 盘 符 都 被 Windows 自动 设置 了 共享 ,其 
共享 名 为 盘 符 后 面 加 一 个 符号 $ (共享 名 称 分 别 为 c$ 、d$ ,ipc$ 等 )。 这 样 , 只 要 攻击 者 知 
道 了 该 系统 的 管理 员 密 码 , 就 有 可 能 通过 输入 “\\ 工 作 站 名 \ 共 享 名 称 ” 来 打开 系统 的 指定 文 
件 夹 ,用 户 精心 设置 的 安全 防范 就 不 安全 了 。 因 此 ,应 将 Windows 2003 系统 默认 的 共享 隐 
患 从 系统 中 清除 掉 ,可 采用 以 下 步骤 : 

O 选择 “开始 ”一 运行 "菜单 ,输入 gpedit. msc, 确 认 后 打开 组 策略 编辑 器 。 

@ 选择 “用 户 配置 ”>“Windows 设置 "脚本 (登录 /注销 )” 菜 单 , 双 击 “ 登 录 ” 脚 本 ,在 
出 现 的 “登录 属性 ?窗口 中 单 击 “添加 ”按钮 ,如 图 3. 18 所 示 。 


文件 加 换 作 凶 ) 查看 四 帮助 0 
各 小 | 和 且 | 国 | 全 忆 | 国 贺 


ee 第 咯 疯 牌 本 - 《登录 /注销 ) 
计算 机 肥 置 
生 管理 模板 


3.18 利用 组 策略 删除 默认 共享 
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@ 在 出 现 的 “添加 脚本 ”对 话 框 中 的 “脚本 名 ” 栏 中 输入 delshare. bat, 然 后 单 击 “ 确 定 ” 
按钮 即 可 。 

重新 启动 计算 机 系统 后 ,就 可 以 自动 将 系统 所 有 的 隐藏 共享 文件 夹 全 部 取消 。 

(13) 印 载 不 安全 组 件 

当 在 系统 中 加 入 不 安全 组 件 检测 功能 后 ,就 可 发 现 使 用 的 服务 器 支持 的 很 多 组 件 是 
不 安全 的 。 但 这 些 不 安全 也 是 相对 的 ,只 要 做 好 相关 的 设置 ,原来 不 安全 的 组 件 就 会 安 
a 

如 果 有 些 组 件 是 不 安全 的 , 且 对 用 户 来 说 又 可 能 没有 什么 用 途 , 在 系统 安装 后 就 可 以 将 
它们 删除 掉 ( 印 载 ) 。 决 定 是 否 印 载 一 个 组 件 时 一 定 要 谨慎 。 因 为 组 件 是 为 了 应 用 而 出 现 
的 ,所 有 的 组 件 都 有 它 的 用 处 ,所 以 在 印 载 一 个 组 件 前 ,必须 明确 该 组 件 确实 是 系统 不 需要 
的 。 比 如 ,FSO 和 XML 都 是 常用 的 组 件 , 很 多 程序 会 用 到 它们 。WSH 组 件 会 被 一 部 分 主 
机 管理 程序 用 到 ,有 的 打包 程序 也 会 用 到 它 。 

最 危险 的 组 件 是 WSH 和 Shell, 因 为 它们 可 以 运行 硬盘 里 的 . exe 程序 ,比如 可 以 运行 
提升 程序 来 提升 SERV-U 权限 ,甚至 用 SERV-U 来 运行 更 高 权限 的 系统 程序 。 因 此 ,用 户 
可 以 印 载 WSH 和 Shell 这 两 个 组 件 。 印 载 组 件 的 最 简单 办 法 就 是 直接 印 载 后 删除 相应 的 
程序 文件 。 

例 3-1 印 载 WSH 和 Shell 组 件 。 

将 下 面 的 代码 保存 为 一 个 . BAT 文件 : 

regsvr32/u C:\WINDOWS\System32\wshom. ocx 

delC:\WINDOWS\System32\wshom. ocx 

(利用 regsvr32 /u wshom. ocx 钾 载 WScript. Shell 组 件 ) 
regsvr32/u C:\WINDOWS\system32\shell32.dll 


delC:\WINDOWS\system32\shell32.dll 
(利用 regsvr32 /u shel132. dll 卸载 Shell. application 组 件 ) 


运行 该 批 处 理 文件 后 ,WScript. Shell 和 Shell. Application 组 件 就 会 被 务 载 。 在 印 载 过 
程 中 ,可 能 会 出 现 无 法 删除 文件 的 提示 ,可 以 不 用 管 它 ,重启 服务 器 即 可 。 

例 3-2 印 载 FSO 组件。 

使 用 regsvr32/u c:windows\system32\scrrun. dll 纯 载 组 件 。 在 “开始 ”菜单 下 运行 
regedit, 打 开 注 册 表 编辑 器 ,将 /HKEY_CLASSES_ROOT 下 的 WScript. Network、 
WScript. Network. 1、 WScript. Shell、 WScript. Shell. 1、 Shell. Application 和 Shell 
.Application. 1 的 键 值 改名 或 删除 。 在 /HKEY_CLASSES_ROOT/CLSID 中 包含 的 字 串 
(如 {72C24DD5-D70A-438B-8A42-98424B88AFB8)) 下 找到 相关 的 键 值 ,如 图 3. 19 所 示 ,并 
将 其 全 部 删除 。 

(14) 关闭 不 必要 的 端口 

在 系统 安装 后 ,为 了 安全 起 见 , 可 关闭 一 些 不 需要 的 端口 。 具 体 步 又 如 下 : 

@ 选择 菜单 “开始 ”>“ 设 置 ”>“ 网 络 连接 ”一 “本 地 连接 ”, 打 开 “ 本 地 连接 属性 ”对 话 
框 ,如 图 3. 20 所 示 。 

@ 选择 “Internet 协议 (TCP/IP)” 选 项 , 单 击 “ 属 性 ”按钮 ,弹出 “Internet 协议 (TCP/ 
IP) 属 性 ”对 话 框 ,如 图 3. 21 所 示 。 
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图 3.19 注册 表 修 改 或 删除 键 值 


上 -本 地 连接 属性 


Er 


连接 时 使 用 


BW Intel (R) PRO/100 VE Network Ce 


此 连接 使 用 下 列 项 目 @) 
回 最 网 络 客 户 端 


[| 


回 矶 licrosoft 网 络 的 文件 和 打印 机 共享 
qoS 数据 包 计划 程序 
四 FInternet 协议 (CP/IF) 


已 二 EA 属性 芭 

说 明 

卫生 BR 的 民风 议 。 它 提 全 如 多 种 本 联 六 
讯 


口 连接 后 在 通知 区 域 显示 图 标 电 ) 
回 此 往 接 被 限制 或 无 连 按时 通知 我 如 


确定 取消 


3.20 “本 地 连接 属性 ”对 话 框 


图 3.21 


Internet 苏 议 (TCP/IP》 属性 


[又 | 


en. 


〇 自动 获得 IF 地 址 中) 
多 使 用 下 面 的 IF 地 址 G@) 


自动 获得 DIS 服务 器 地 址 外 ) 
多 使 用 下 面 的 DNS 服务 器 地 址 E) 


首选 DNS 服务 器 到) 
备用 DNS 服务 器 (A) 


@ 单 击 “ 高 级 ”按钮 ,弹出 “高 级 TCP/IP 设置 ?对 话 框 , 如 图 3. 22 所 示 。 


图 单 击 “ 选 项 ”选项 卡 ,弹出 “TCP/IP 筛选 ”, 单 击 “ 属 性 ”按钮 ,打开 TCP/IP 筛选 ,添加 
需要 的 TCP、UDP 协议 即 可 ,参见 图 2. 8。 


(15) 杜绝 非法 访问 应 用 程序 


Windows 2003 是 一 种 服务 器 操作 系统 。 为 了 防止 非法 用 户 登 录 到 系统 中 并 随意 启动 


“Internet 协议 (TCP/IP) 属 性 ”对 话 框 
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服务 器 中 的 应 用 程序 ,给 服务 器 的 正常 运行 帮 村 这 于 人 3 
带 来 不 必要 的 麻烦 。 可 根据 不 同 用 户 的 访问 i 
权限 ,来 限制 他 们 去 调用 应 用 程序 。 实 际 上 
只 要 使 用 组 策略 编辑 器 作 进 一 步 的 设置 , 即 
可 实现 这 一 目的 。 具 体 步 又 如 下 : 

OD 打开 “组 策略 编辑 器 ”然后 依次 选择 | 
“本 地 计算 机 策略 ”一 “用 户 配置 "一 “管理 模 | | 如 中 陋 二 全 aaalan neers i 
板 ”>“ 系 统 ” 菜 单 。 

@ 选择 “只 运行 许可 的 Windows 应 用 程 
序 ? 并 双击 ,弹出 如 图 3. 23 所 示 的 窗口 。 


图 3. 22 “高 级 TCP/IP 设置 ?对 话 框 


文件 四 换 作 QQ) 查看 帮助 0D 
和 + 名 | 园 | 早 最 | 国 图 
本 -本 地 计算 机 " 策略 

计算 机 配置 


阻止 访问 注册 表 编 部 工具 


只 运行 许可 的 Windows 应 用 程序 


不 要 运行 指定 的 Windows 应 用 程序 


图 3.23 组 策略 编辑 器 的 系统 设置 


@ 在 图 3.24 中 的 “设置 ?标签 中 选择 “已 启用 ”, 单 击 下 面 的 “允许 的 应 用 程序 列表 ? 右 
边 的 “显示 ”按钮 ,弹出 一 个 “显示 内 容 ” 对 话 框 。 
@ 单 击 “ 添 加 ”按钮 来 添加 允许 运行 的 应 用 程序 ,如 图 3. 24 所 示 。 


只 运行 许可 的 Window 
设置 说 明 | 
便 R 运 行 许可 的 findovs 应 用 要 


= 应 用 程序 长 性 


OO) 
回 己 B 用 加 ) 
OE 用 中 


图 3.24 允许 的 应 用 程序 列表 框 
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这 样 操作 后 一 般 用 户 只 能 运行 “允许 的 应 用 程序 列表 ”中 的 程序 。 

(16) 关闭 自动 播放 服务 

自动 播放 功能 不 仅 对 光驱 起 作用 ,而 且 对 其 他 驱动 器 也 起 作用 ,这 样 很 容易 被 黑客 利用 
来 执行 黑客 程序 ,因此 ,可 以 考虑 关闭 该 服务 。 关 闭 自动 播放 服务 的 操作 步骤 如 下 : 

打开 组 策略 编辑 器 ,依次 展开 * 计 算 机 配置 ”~ 管理 模板 ”~ 系统 ”。 

@ 在 右 侧 窗口 中 找到 “关闭 自 动 播放 ?选项 ,并 双击 。 

@ 在 打开 的 对 话 框 中 选择 “已 启用 ”选项 ,然后 在 “关闭 自动 播放 ”右面 的 下 拉 菜 单 中 选 
择 “ 所 有 驱动 器 "选项 , 单 击 “确定 ”按钮 即 可 生效 ,如 图 3. 25 所 示 。 


文件 中 )” 换 作 人 ) 查看 WW 帮助 有 
+ | 和 加 外 忆 | 罗 国 


关闭 自动 播放 属性 


[三 im] 
龟 关闭 自 动 播放 
et | Om 
a 对 指定 的 文 里 限 | | 加 已 B 用 @) 
加 全 入 | 至 人 Wherosoft Windors 2000 。 国 急 下 iT 未 "| 有 由 
可 
| 关闭 目 动 运行 功能 ， 
一 旦 雹 格 旭 体 插 入 器 ， 自 动 运 
行 吉 开 始 从 红 动 器 中 读 职 。 这 会 进 天 鲍 指 定 Tindow: sw 
成 程序 的 设置 文件 和 在 言 类 媒体 上 删除 启动 / 关机 
的 音乐 会 立即 开始 ， 
由 于 
6 上 用 ( 
在 CD-EDN 驱动 器 上 妾 用 )。 不 要 自动 加 灾 移 到 | 
Et | i 
在 CD-aDW 纺 动 路 条 用 自 ; 0 Ez Et Windows 2000 
和 上 上 一 设置 EE) 下 一 让 中 
[mm ]C Law | 


图 3.25 关闭 自动 播放 服务 


(17) 账户 锁定 设置 

账户 锁定 策略 是 一 项 Active Directory 安全 功能 。 在 指定 时 间 段 内 ,如 果 登 录 尝 试 失 
败 次 数 达到 指定 次 数 , 它 会 锁定 用 户 账户 并 禁止 登录 。 人 允许 尝试 的 次 数 和 时 间 段 基于 为 账 
户 锁定 设置 的 值 。 账 户 锁定 策略 还 可 以 指定 锁定 期 限 。 账 户 锁定 设置 有 助 于 防止 攻击 者 猜 
测 用 户 密 码 ,并 且 会 降低 对 网 络 环境 攻击 成 功 的 可 能 性 。 账 户 锁定 设置 的 过 程 为 : 

单 击 “ 开 始 ” 一 “运行 ”命令 ,输入 secpol. msc, 打 开本 地 安全 设置 界面 ,选择 “账户 策略 ”一 
“账户 锁定 策略 ”菜单 。 双 击 “ 账 户 锁 定 阅 值 ”选项 ,在 弹出 的 对 话 框 中 输入 允许 尝试 的 最 大 
登录 次 数 ,再 单 击 “ 确 定 ” 按 钮 即 可 ,如 图 3. 26 所 示 。 

(18) 审核 

进入 “本 地 安全 策略 ”>“ 本 地 策略 >“ 审核 策略 ”, 可 见 到 以 下 项 目 内 容 : 

审核 策略 更 改 成 功 ,失败 ; 

审核 系统 事件 成 功 ,失败 ; 

审核 账户 登录 事件 成 功 ,失败 ; 

审核 账户 管理 成 功 , 失败. 

对 每 一 项 目 进行 审核 : 双击 每 一 项 ,选择 成 功 (或 失败 ) , 单 击 “确定 ”按钮 完成 设置 ,如 
图 3. 27 所 示 。 
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馈 本 地 安全 设置 本 上 

文件 @ ”操作 查看 WW 帮助 只 帐户 锁定 阔 值 属性 区 区 ] 

秆 了 和 央 |X 略 区 | 力 EEC 

下 第 路 Yt i 

电 锥 账户 第 咯 国生 位 由 记名 证 证 不 | he sa! 
曾 旺 忆 钙 证 时间。 有 


国 
灸 者 

国 公家 策略 
重 

量 a 


地 
公 Sy 
在 发 生 以 下 策 况 之 后 ， 视 定 帐户 
软件 限制 第 咯 
P 安全 策略 ,在 日 图 次 天 %S 录 


确定 _] [取消 应 用 (A) 


图 3.26 账户 锁定 设置 


有 本 地 安全 设置 
文件 EF) 。 换 作 必 ) 查看 W) 帮助 0D 


图 3.27 安全 审核 策略 


3. 安全 使 用 Internet Explorer 


Internet Explorer 是 当今 最 流行 的 浏览 器 软件 。 因 为 使 用 的 人 多 ,IE 被 发 现 的 安全 性 
问题 也 就 最 多 。 通 过 以 下 的 设置 .可 以 使 下 更 加 安全 。 以 下 是 以 IE 6.0 版 为 例 介 绍 的 ,如 
果 是 其 他 版 本 ,有 些 细节 可 能 会 有 所 差别 。 

(1)“Internet 选项 ”的 “Internet” 安 全 设置 

打开 Internet Explorer, 单 击 “ 工 具 ”>“Internet 选项 ”菜单 ,打开 “安全 ”选项 卡 。 在 “ 安 
全 ”菜单 中 选择 “Internet” 选 项 ( 见 图 3. 28) ,就 可 以 针对 Internet 区 域 的 一 些 安全 选项 进行 
设置 。 虽然 有 不 同 级 别 的 默认 设置 ,但 最 好 是 根据 自己 的 实际 情况 亲自 调整 一 下 。 单 击 下 
方 的 “ 自 定义 级 别 ” 按 钮 ,这 里 就 显示 了 IE 安全 设置 ,如 图 3. 29 所 示 。 

J@ 下 载 已 签名 的 Active X 控件 : 经 过 第 三 方 的 认证 机 构 签 名 证 明 该 Active X 控件 是 
安全 的 ,并 且 可 以 设置 为 允许 下 载 这 种 控件 ,除非 不 想 安装 任何 Active X 控件 ,或 者 想 从 一 
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Internet 选项 


Internet 
4 贱 鸯 衣 teE 


该 区 域 的 安全 级 别 也) 


| 
We 


3. 29 ”Internet 选项 的 安全 设置 (2) 


些 网 站 下 载 ,例如 Windows Update, 还 有 播放 Flash 的 插件 等 。 

@ 下 载 未 签名 的 Active X 控件 : 与 经 过 签名 认证 的 Active X 控件 相 比 ,未 经 签名 认证 
的 可 能 会 包含 潜在 的 安全 隐患 ,因此 该 选项 最 好 不 要 设置 为 启用 ,可 设 为 “禁用 ?或 者 设置 为 
“提示 ”, 这 样 可 以 根据 正在 访问 的 站 点 的 性 质 决定 是 否 下 载 安装 未 经 认证 的 控件 。 

@ 对 没有 标记 为 安全 的 Active X 控件 进行 初始 化 和 脚本 运行 : 与 前 面 的 设置 类 似 ,如 
果 之 前 都 设置 为 “禁用 ”, 那 么 该 选项 同样 “禁用 ” 即 可 ,否则 可 以 设置 为 “提示 ?或 者 “启用 ”， 
禁止 那些 未 经 签名 的 控件 运行 。 

@ 运行 ActiveX 控件 和 插件 : 假设 已 经 “禁止 * 了 所 有 Active X 控件 和 插件 的 运行 , 那 
么 该 选项 就 可 以 放心 地 设置 为 管理 员 认可 。 
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@ 对 标记 为 可 安全 执行 脚本 的 Active X 控件 执行 脚本 : 该 设置 可 以 与 前 面 的 选项 
相同 。 

活动 脚本 : 现在 各 种 脚本 程序 非常 流行 .通过 脚本 程序 可 以 建立 很 多 实用 的 网 页 ， 
例如 Windows Update 网 页 ,就 是 通过 脚本 程序 来 判断 需要 下 载 的 补丁 。 因 此 如 果 “ 禁 用 ” 
脚本 程序 ,一 些 网 页 将 不 能 正常 浏览 ,这 里 建议 设置 为 “禁用 ”。 

@ 允许 通过 脚本 进行 粘贴 操作 : 该 选项 允许 网 页 通过 脚本 把 文件 复制 到 剪贴 板 , 为 了 
安全 考虑 最 好 设 为 “禁用 ”。 

@ Java 小 程序 脚本 : JavaScript 是 一 种 公开 、 多 平台 ,面向 对 象 的 脚本 语言 。 很 多 网 页 
中 都 使 用 了 Java 脚本 ,但 是 安全 起 见 最 好 “禁用 ” 它 。 

(2)“Internet 选项 ”的 “可 信 站 点 "安全 设置 

以 上 的 设置 会 影响 到 少数 必须 要 访问 的 站 点 (例如 Windows Update 网 站 ), 但 为 了 安 
全 起 见 又 不 想 把 Internet 区 域 的 安全 级 别 设置 得 太 低 , 则 可 以 把 一 些 信任 的 站 点 添加 到 “ 受 
信任 的 站 点 ”中 去 。 方 法 是 : 在 “Internet 选项 ”的 “安全 ”选项 卡 下 , 单 击 “ 受 信任 的 站 点 ”, 然 
后 单 击 “ 站 点 ”按钮 ,在 新 窗口 中 输入 希望 添加 的 网 络 地 址 (例如 http://www. 163. com) ,如 
图 3. 30 所 示 , 然 后 单 击 右 侧 的 “添加 ”按钮 即 可 。 


Internet 选项 


委 规 安全 | 隐私 | 内容 [连接 [程序 高 级 | 
'®@ Web 号 @ &) 


@ 焉 Tt 
该 区 域 没 有 站 点 ， 
该 区 域 的 安全 级 别 已 ) (CD 
站 二 网 站 四 
上 二 


自 定义 馈 别 @).. 默认 归 别 @) 


回 对 该 区 域 中 的 所 有 站 点 要 求 服务 器 验证 https: ) 人 ) 


应 用 
3. 30 ”Internet 选项 的 可 信 站 点 设置 


(3)“Internet 选项 的“ 内容” 安全 设置 

打开 “Internet 选项 ”中 的 “内 容 ” 选 项 卡 ,可 看 到 有 “分 级 审查 ”“ 证 书 ” 和 “个 人 信息 ”三 
栏 ,如 图 3. 31 所 示 。 

“分 级 审查 ”可 以 帮助 用 户 控 制 在 该 计算 机 上 看 到 的 Internet 内 容 。 单 击 “ 分 级 审查 ”的 
“启用 ”按钮 ,弹出 “内 容 审 查 程序 ”对 话 框 ,如 图 3. 32 所 示 。 在 这 里 可 对 内 容 的 级 别 和 可 信 
站 点 进行 查看 和 设置 。 

在 “证 书 ” 栏 ,使 用 证 书 可 以 正确 标识 自己 \ 证 书 颁发 机 构 和 颁发 商 的 身份 。 单 击 " 证 书 ” 
按钮 ,弹出 “证 书 ” 对 话 框 ,如 图 3. 33 所 示 。 在 该 对 话 框 中 ,可 帮助 个 人 用 户 将 证 书 、 证 书信 
任 列表 和 证 书 吊销 列表 从 磁盘 复制 到 证 书 存储 区 ,可 列 出 “中 级 证 书 颁发 机 构 >“ 受 信任 的 
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常规 | 安全 | 隐私 | 内 容 | 连接 [程序 | 高 级 | 
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全 配置 文件 助理 能 存储 您 的 


和 证] [了 测 ] [LE 


图 3. 31 Internet 选项 的 “内 容 ” 设 置 


第 规 | 安全 | 隐私 | 内容 [连接 | 和 edi 
分 骸 审 查 一 一 [5 [站 点 [玉英 
全 ER 人 | sg, 5): 
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有 os 
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役 有 侵犯 性 的 暴力 行为 ， 没 有 目 类 的 或 意外 的 暴力 事件 。 


唱 crosoft 配置 文件 助理 能 存储 爷 | 
个 人 信息 。 


td 


CE 
图 3.32 “分 级 审查 ”的 “内 容 审 查 程序 ”对 话 框 


根 证书 颁 发 机 构 ” 等 相关 信息 。 
在 “个 人 信息 ” 栏 , 单 击 “ 自 动 完成 ”按钮 ,弹出 如 图 3. 34 所 示 的 对 话 框 。 对 于 所 列 出 来 


的 每 一 项 ， 


自动 完成 功能 都 会 保存 特定 的 内 容 ,其 中 “Web 地址 ?会 保存 在 IE 地 址 栏 中 输入 


过 的 内 容 ;“ 表 单 " 会 保存 在 网 页 中 填写 的 资料 ,例如 论坛 上 的 发 言 ( 除 用 户 名 和 密码 ) 搜索 


引擎 中 使 


过 的 关键 字 等 ;“ 表 单 上 的 用 户 名 和 密码 ”会 保存 登录 论坛 或 其 他 网 页 时 输入 的 


用 户 名 和 和 密码。 自动 完成 可 以 帮助 节省 很 多 时 间 , 但 是 同时 也 带 来 了 很 大 的 安全 隐患。 一 


且 有 人 使 


你 的 账号 登录 ,登录 网 站 的 用 户 名 和 密码 等 资料 就 有 可 能 全 部 被 别人 看 到 。 因 


此 用 户 可 以 根据 自己 的 计算 机 使 用 情况 适当 调整 ,决定 哪些 内 容 可 以 自动 保存 ,哪些 不 行 。 
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预期 目的 QD; OE 


个 人 [正好 人 | 中 约 证 书 堪 发 机 构 [受信 任 的 根 证 书 堪 发 机 构 [受信 任 的 发 行者 | 有 

二 发 结 十 改 者 哉 止 日 央 好 记 的 名 称 自动 完成 设置 

ee 自动 这 成 可 以 列 出 与 您 前 输入 的 内 容 最 相符 的 条 目 。 
自动 完成 功能 应 用 于 


| 
环 下 Wj 
口 表单 
回 表单 上 的 用 户 名 和 密码 到 ) 


提示 我 保存 密码 双 ) 
清除 自动 完成 历史 记录 


导入 中 导出 人 [SD 丙 绩 (A) 
清除 表单 忆 ) 清除 密码 C) 
SA i 


图 3. 34 个 人 信息 的 “自动 完成 设置 "对 话 框 


网 
oh 


图 3.33 证 书 存 储 及 颁发 机 构 信 息 


(4)“Internet 选项 ”的 “高 级 ”安全 设置 
打开 “Internet 选项 ”的 “高 级 ”选项 卡 ,可 根据 实际 情况 对 “设置 "中 的 各 “安全 ”项 


以 下 具体 设置 ,如 图 3. 35 和 图 3. 36 所 示 。 


膏 规 |[ 安 全 [隐私 | 内 容 | 连接 [程序 高 级 [千夫 [安全 [隐私 | 内容 | 连接 | 程序 [高 级 | 
设置 GE) 设置 G) 
自 安 全 四 关闭 浏览 器 时 清空 Internet 临时 文件 来 副 
加 [不 将 加 密 的 页 面 存 入 硬盘 同 检查 发 行商 的 让 书 员 销 
对 无 效 站 点 证 书 发 出 警 首 [| 检查 服务 器 证 书 吊销 需要 重启 动 ) 
思 关闭 浏览 器 时 清空 Internet 虱 时 文件 天 [| 检查 下 载 的 程序 的 签名 则 
检查 改行 南 的 证 书 吊 铂 六 局 动 轩 文件 助理 
检查 服务 器 证 书 吊销 (需要 重启 动 ) 网 局 用 集成 Windows 身份 验证 (需要 午 局 动 ) 
[网 | 检 查 下 载 的 程序 的 签名 回合 用 ssL20 
启动 配置 文件 助理 同人 ssL30 
启用 集成 Windows 身份 验证 (需要 重启 动 ) 合用 TLS 1.0 
合用 SSL 2.0 交 话 活动 内 容 在 我 的 计算 机 上 的 文 件 中 运行 
使 用 SSL 3.0 区 许 来 自 CD 的 活动 内 容 在 我 的 计算 机 上 运行 
加 合用 Ts 1.0 区 许 运行 或 安装 软件 ， 即 使 签名 无 效 
区 许 活动 内 容 在 我 的 计算 机 上 的 文件 中 运行 加 | 正安 全 和 让 安全 模式 之 间 竺 的 时 发 出 警 洁 
加 如许 采 自 cn 的 活动 内 容 在 我 的 计算 机 上 运行 网 | 下 定向 提 立 的 表单 时 发 册 警 兰 
他 许 运行 恐 安 蛙 软 性 。 即 使 答 包 开阔 Eq 息 几 届 福 栏 中 机 去 4 
EJ TT == | E < > 
ER 远 斋 了 内 设 重 
[本 | L7H | WT Cj CCw |] 
图 3. 35 ”Internet 选项 的 “高 级 "设置 (1) 图 3. 36 Internet 选项 的 “高 级 "设置 (2) 


Q@ 检查 发 行商 的 证 书 吊 销 : 如 果 选 择 了 该 项 , 当 访 问 某 些 需 要 认证 的 站 点 时 ,IE 会 首 
先 检查 给 站 点 提供 的 证 书 是 否 依然 有 效 。 一 般 情 况 下 ,建议 启用 该 设置 。 
@ 检查 服务 器 证 书 吊销 (需要 重启 动 ) : 该 项 将 会 使 IE 检查 站 点 服务 器 的 证 书 是 否 仍 


然 有 效 , 一 般 也 应 该 启用 该 设置 。 
@ 检查 下 载 的 程序 的 签名 : 如 果 启 用 该 设置 ,在 下 载 了 程序 后 下 会 通过 签名 自动 检 


查 程 序 是 否 被 非法 改动 过 。 一 般 应 当 启 用 该 设置 。 
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@ 不 将 加 密 的 页 面 存 人 硬盘 : 启用 了 该 项 后 ,对 于 加 密 页 面 (主要 是 URL 以 https 打 
头 的 ) 将 不 会 保存 到 Internet 临时 文件 夹 中 。 如 果 多 人 共用 同一 台 计 算 机 ,该 选项 是 很 有 必 
要 的 ,这 样 别人 就 无 法 通过 Internet 临时 文件 窥探 到 你 访问 过 的 加 密 网 页 了 。 

回 对 无 效 站 点 证 书 发 出 警告 : 启用 该 设置 之 后 ,在 遇 到 无 效 的 站 点 证 书 时 IE 就 会 发 
出 警告 ,提醒 注 一 般 情况 下 可 以 启用 该 设置 。 

@ 在 安全 和 非 安全 模式 之 间 转 换 时 发 出 警告 : 当 启 用 该 设置 之 后 ,如 果 要 从 一 个 安全 
的 网 页 (可 能 是 经 过 SSL 加 密 的 ) 进 入 到 一 个 不 安全 的 网 页 时 ,IE 会 发 出 警告 ,以 避免 在 不 
知情 的 情况 下 泄露 一 些 私 人 的 信息 。 

@ 重 定向 提交 的 表单 时 发 出 警告 : 启用 该 设置 后 ,在 某 些 论坛 或 类 似 的 地 方 提交 的 一 
些 信息 如 果 被 发 送 到 了 其 他 的 服务 器 上 ,IE 就 会 发 出 警报 。 所 以 为 安全 起 见 , 也 应 当局 用 


该 设置 。 
3.3.2 Linux 系统 安全 及 服务 器 配置 


人 们 普遍 认为 Linux 比 Windows 安全 ,这 是 有 道理 的 。 因 为 Windows 树 大 招 风 ,这 应 
该 算是 其 中 的 一 个 原因 吧 。 但 Linux 也 不 是 绝对 安全 的 ,尤其 是 在 默认 设置 情况 下 。 本 节 
介绍 Linux 系统 的 安全 及 基于 Linux 的 服务 器 的 安全 设置 。 


1. BIOS 的 安全 设置 


首先 用 户 要 给 自己 的 BIOS 设置 密码 ,这 是 最 基本 的 要 求 。 这 样 可 以 防止 通过 在 BIOS 
中 改变 启动 顺序 ,而 从 软盘 启动 。 这 样 可 以 阻止 别人 试图 用 特殊 的 启动 盘 启 动 你 的 系统 ,还 
可 以 阻止 别人 进入 BIOS 改动 其 中 的 设置 ,使 机 器 的 硬件 设置 不 能 被 别人 随意 改动 。 

2. GRUB 安全 设置 


(1) 设置 全 局 口令 锁定 启动 菜单 

全 局 口令 用 于 设置 只 允许 用 户 选择 启动 菜单 项 进行 启动 。password 命令 可 为 GRUB 
的 启动 菜单 和 菜单 项 设置 口令 ,在 grub. conf 的 全 局 配置 部 分 使 用 password, 例 如 在 第 一 个 
title 上 输入 password yaohoo。Linux 下 用 vi/vim 命令 来 编辑 ,如 输入 命令 “vi/boot/grub/ 
grub. conf”, 即 可 进入 如 图 3. 37 所 示 编 辑 界 面 进行 编辑 。 


ib/splash.xpm.gz 


图 3.37 设置 全 局 口令 
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设置 全 局 口令 后 ,GRUB 启动 菜单 被 锁定 ,此 时 只 允许 选择 菜单 项 进行 启动 。 如 需 对 
菜单 进行 其 他 操作 (如 编辑 、 进 入 命令 行 界面 等 ) ,都 应 先 对 启动 菜单 进行 解锁 。 在 锁定 的 启 
动 菜 单 选 *P”, 输 入 口令 解锁 即 可 恢复 正常 的 状态 。 

(2) 使 用 全 局 口令 锁定 启动 菜单 

GRUB 提供 了 菜单 项 级 别 的 保护 。 对 于 需要 保护 的 菜单 项 ,可 以 使 用 已 设置 的 全 局 
1 令 进 行 锁 定 。 如 果 启 动 该 菜单 项 需 先 输入 全 局 口令 对 该 菜单 项 进行 解锁 。 设置 步骤 
如 下 : 

@ 设置 GRUB 全 局 口令 。 

@ 在 菜单 项 配置 中 使 用 lock 命令 锁定 菜单 项 ,如 图 3. 38 所 示 。Lock 的 作用 是 使 用 全 
局 口令 锁定 某 启 动 菜 单项 。 该 命令 没有 参数 ,一 般 紧 跟 title。 锁 定 启动 菜单 项 中 lock 之 后 
的 所 有 命令 ,直到 输入 正确 的 口令 。 


里 root@yesi 


图 3.38 使 用 lock 命令 锁定 菜单 项 


当 需 要 对 不 同 启动 菜单 项 使 用 不 同 的 口令 进行 验证 管理 时 ,可 以 在 各 菜单 项 中 使 用 独 
立 的 password 设置 ,如 图 3. 39 所 示 。 这 样 ,就 可 以 实现 全 局 口令 和 本 单项 口令 的 分 级 管 
理 。 如 为 某 菜 单项 设置 独立 口令 最 好 先 设置 全 局 口令 ,并 确保 口令 字 各 不 相同 ,如 不 设置 全 
局 口令 会 造成 菜单 项 口令 的 泄露 。 


图 3.39 password 设置 


(3) 使 用 MD5 加 密 口令 
为 了 避免 在 配置 文件 中 使 用 明文 口令 ,可 采用 MD5 加 密 口 令 , 如 图 3. 40 所 示 。 
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图 3.40 采用 MD5 加 密 口令 


(4) 口令 安全 

口令 可 以 说 是 系统 的 第 一 道 防线 ,目前 网 上 的 大 部 分 对 系统 的 攻击 都 是 从 截获 口令 或 
者 猜测 口令 开始 的 ,所 以 应 该 选择 更 加 安全 的 口令 。 

@ 要 杜绝 不 设 口 令 的 账号 存在 。 这 可 以 通过 查看 /etc/passwd 文件 发 现 。 如 果 用 户 名 
为 test 的 账号 没有 设置 口令 , 则 在 /etc/passwd 文件 中 就 有 


test ::100:9::/home/test:/bin/bash 


该 行 的 第 二 项 为 空 ,说 明 test 账号 没有 设置 口令 ,这 是 非常 危险 的 ,应 将 该 类 账号 删除 或 者 
设置 口令 。 
@ 在 旧版 本 的 Linux 中 ,/etc/passwd 文件 中 包含 有 加 密 的 密码 。 这 样 ja 系统 的 安 


全 性 带 来 很 大 的 隐患 ,因为 可 以 用 暴力 破解 的 方法 来 获得 密码 。 可 以 使 用 命令 
/usr/sbin/pwconv 或 /usr/sbin/grpconv 


建立 /etc/shadow 或 /etc/gshadow 文件 ,这 样 在 /etc/passwd 文件 中 不 再 包含 加 密 的 密码 ， 
而 是 将 密码 放 在 /etc/shadow 文件 中 ,该 文件 只 有 超级 用 户 root 可 读 。 

@ 修改 一 些 系 统 账号 的 Shell 变量 。 一 定 不 要 为 uucp ,ftp .news 及 一 些 仅仅 需要 FTP 
功能 的 账号 设置 /bin/bash 或 /bin/sh 等 Shell 变量 。 可 以 在 /etc/passwd 中 将 其 Shell 变量 
置 空 ,例如 设 为 /bin/false 或 /dev/null 等 ,也 可 以 使 用 


usermod — s /dev/null username 


命令 更 改 username 的 Shell 为 /dev/null。 这 样 使 用 这 些 账 号 就 不 能 从 Telnet 远程 登录 到 
系统 中 来 了 。 

@ 要 修改 默认 的 密码 长 度 。 在 用 户 安 装 Linux 时 默认 的 密码 长 度 是 5 个 字 节 。 但 这 
似乎 不 够 ,应 该 再 增加 .此 位 数 ， 比如 把 它 设 为 8 字 节 ,如 图 3. 41 所 示 。 修 改 最 短 密 码 长 度 
需要 编辑 login 程序 的 配置 文件 login. defs(vi/etc/login. defs) 。 

(5) 自动 注销 账号 

UNIX/Linux 系统 中 root 账户 具有 最 高 的 权限 。 如 果 系 统管 理 员 在 离开 系统 之 前 忘 
记 注 销 root 账户 , 那 将 会 带 来 很 大 的 安全 隐患 。 因 此 ,应 该 让 系统 自动 注销 该 账号 。 这 可 
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PR root@yesir: 
#MAIL FILE mail 


# Password aging controls: 


PASS MAX DAYS Maximum number of days a password may be| 


Minimum numbez of days allowed between p| 


图 3.41 修改 默认 的 密码 长 度 


通过 修改 账户 中 “TMOUT” 参 数 (如 图 3. 42 所 示 ) 来 实现 此 功能 。 编 辑 系统 的 profile 文件 
(vi /etc/profile, 用 /histsize\c 找到 HISTSIZE) ,在 "HISTSIZE=" 后 面 加 入 


TMOUT = 300 
TMOUT 是 按 秒 计算 的 ,这 里 的 300 表示 300 秒 。 这 样 , 如 果 系 统 中 登录 的 用 户 在 5 分 钟 内 


都 没有 动作 ,那么 系统 会 自动 注销 这 个 账户 。 管 理 员 也 可 以 在 个 别 用 户 的 . bashrc 文件 中 
添加 该 值 ,以 便 系统 对 该 用 户 实行 特殊 的 自动 注销 


Rroot@yes: 


ulimic -5 -c 0 > /dev/null 2>£1 


NPUTRC" -a ! - "SHOME/. 


图 3.42 设置 账户 TMOUT 参数 


改变 该 项 设置 后 ,必须 先 注销 用 户 ,再 用 该 用 户 登 录 才能 激活 此 功能 。 
(6) 取消 普通 用 户 的 控制 台 访 问 权 限 
可 采用 shutdown、reboot、halt 等 命令 取消 普通 用 户 的 控制 台 访问 权限 ,如 : 


rm 一 上 /etc/security/console. apps/halt 

rm 一 上 /etc/security/console. apps/poweroff 

一 上 /etc/security/console. apps/reboot 

rm 一 上 /etc/security/console. apps/shutdown 

rm 一 上 /etc/security/console.apps/xserver (此 时 只 有 root 能 用 x) 


茜 茜 茜 茜 共 
| 
EE 
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(7) 取消 并 反 安 装 所 有 不 用 的 服务 

在 系统 中 取消 并 反 安 装 所 有 不 用 的 服务 ,就 会 减少 很 多 风险 。 查 看 /etc/inetd. conf 文 
件 , 通 过 注释 取消 所 有 不 需要 的 服务 (在 该 服务 项 目 之 前 加 一 个 “#”) ,然后 用 sighup 命令 
升级 inetd. conf 文件 。 

@ 更 改 /etc/inetd. conf 权限 为 600, 只 允许 root 来 读 写 该 文件 。 

# chmod 600 /etc/inetd. conf 

@ 确定 /etc/inetd. conf 文件 所 有 者 为 root。 

@ 编辑 /etc/inetd. conf 文件 (vi /etc/inetd. conf) ,取消 不 需要 的 服务 ,如 ftp、telnet、 
shell login .exec \talk .ntalk imap、pop3 ,finger、auth 等 。 把 不 需要 的 服务 关闭 ,可 以 使 系 
统 的 危险 性 降低 很 多 。 

@ 给 inetd 进程 发 送 一 个 HUP 信号 。 

# killall — HUP inetd 

@ 用 chattr 命令 把 /etc/inetd. conf 文件 设 为 不 可 修改 ,这 样 就 可 以 防止 对 inetd. conf 
的 任何 修改 。 

# chattr +i /etc/inetd. conf 


唯一 可 以 取消 该 属性 的 用 户 只 有 root。 如 果 要 修改 inetd. conf 文件 ,首先 要 用 下 面 命 
令 取 消 不 可 修改 属性 ,修改 后 再 把 它 的 性 质 改 回 不 可 修改 的 。 


# chattr - i /etc/inetd. conf 


(8) TCP_WRAPPERS 
使 用 TCP_WRAPPERS 可 以 使 系统 安全 面 对 外 部 人 侵 。 最 好 的 策略 就 是 阻止 所 有 的 
主机 (在 /etc/hosts. deny 文件 中 加 入 ALL: ALL@ ALL, PARANOID) 登录 ,然后 再 在 
/etc/hosts. allow 文件 中 加 入 所 有 人 允许 访问 的 主机 列表 。 
OO 编辑 hosts. deny 文件 (vi /etc/hosts. deny) ,加 入 如 下 一 行 


# Deny access to everyone ALL: ALL(@ALL, PARANOID 


这 表明 除非 该 地 址 包 在 允许 访问 的 主机 列表 中 ,否则 阻塞 所 有 的 服务 和 地 址 。 
@ 编辑 hosts. allow 文件 (vi /etc/hosts. allow) ,加 入 允许 访问 的 主机 列表 ,比如 


ftp: 202.54.15.99 foo. com 


这 里 的 202. 54. 15. 99 和 foo. com 是 允许 访问 FTP 服务 的 IP 地 址 和 主机 名 称 。 

@ tcpdchk 程序 是 tcpd wrapper 设置 的 检查 程序 ,可 用 来 检查 tcp wrapper 设置 ,并 报 
告发 现 的 潜在 和 真实 的 问题 。 设 置 完毕 ,运行 如 下 命令 即 可 。 

# tcpdchk 


(9) 修改 /etc/host. conf 文件 
/etc/host. conf 说 明了 如 何 解 析 地 址 。 编 辑 /etc/host. conf 文件 (vi /etc/host. conf)， 
加 入 如 下 命令 : 
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# Lookup names via DNS first then fall back to /etc/hosts 
order bind, hosts 

# We have machines with multiple IP addresses 
multi on 

# Check for IP address spoofing 
nospoof on 


上 述 第 一 项 设置 首先 通过 DNS 解析 IP 地 址 ,然后 通过 hosts 文件 解析 ; 第 二 项 设置 检 
测 /etc/hosts 文件 中 的 主机 是 否 拥有 多 个 IP 地 址 (比如 有 多 个 以 太 口 网 卡 ); 第 三 项 设置 说 
明 要 注意 对 本 机 未 经 许可 的 电子 欺骗 。 

(10) 禁止 从 不 同 的 设备 进行 root 登录 

/etc/securetty 文件 允许 定义 root 用 户 可 以 从 哪个 TTY 设备 登录 。 用 户 可 以 编辑 
/etc/securetty 文件 ,在 不 允许 登录 的 TTY 设备 前 添加 “# ”标志 ,来 禁止 从 该 TTY 设备 进 
行 root 登录 。 如 在 /etc/inittab 文件 中 有 如 下 设置 : 

# Run gettys in standard runlevels 

1:2345:respawn:/sbin/mingetty ttyl 

2:2345:respawn:/sbin/mingetty tty2 

#3:2345:respawn:/sbin/mingetty tty3 

#4:2345:respawn:/sbin/mingetty tty4 

#5:2345:respawn:/sbin/mingetty tty5 

#6:2345:respawn: /sbin/mingetty tty6 
系统 默认 可 以 使 用 6 个 控制 台 。 而 在 3.4.5.6 序号 前 面 加 上 禁止 注释 标志 ”*#”, 表 示 禁 止 
使 用 这 4 个 控制 台 ,而 只 有 另 两 个 控制 台 可 供 使 用 。 然 后 重新 启动 init 进程 ,改动 即 可 
生效 。 

(11) Shell logging Bash 

Shell 在 一 /. bash_history( 一 /表示 用 户 目录 ) 文 件 中 保存 了 500 条 使 用 过 的 命令 ,这 样 
可 以 为 用 户 在 输入 使 用 过 的 长 命令 提供 方便 。 每 个 在 系统 中 拥有 账号 的 用 户 在 他 的 目录 下 
都 有 一 个 .bash_history 文件 。bash shell 应 该 保存 少量 的 命令 ,并 且 在 每 次 用 户 注销 时 都 
把 这 些 历史 命令 删除 。 

@ /etc/profile 文件 中 的 HISTFILESIZE 和 HISTSIZE 行 确定 所 有 用 户 的 . bash_ 
history 文件 中 可 以 保存 的 旧 命 令 条 数 。 建 议 把 /etc/profile 文件 中 的 HISTFILESIZE 和 
HISTSIZE 的 值 设 为 一 个 较 小 的 数 ,比如 30。 编 辑 profile 文件 (vi/etc/profile) ,定义 两 个 
值 如 下 : 


HISTFILESIZE = 30 
HISTSIZE = 30 


这 表示 每 个 用 户 的 “. bash_history” 文 件 可 以 保存 30 条 旧 命 令 。 
@ 在 /etc/skel/.bash_logout 文件 中 添加 
rm 一 上 $HOME/.bash history 


这 样 , 当 用 户 每 次 注销 时 ,. bash_history 文件 都 会 被 删除 。 
编辑 . bash_logout 文件 (vi /etc/skel/. bash_logout) ,添加 如 下 行 : 
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vt 


rm 一 上 $ HOME/. bash history 


(12) 给 /etcyrc. d/init. d 下 的 script 文件 设置 权限 
给 执行 或 关闭 启动 时 执行 的 程序 的 script 文件 设置 权限 。 运 行 下 一 行 命令 ,说 明 只 有 
root 才 人 允许 读 、 写 ,执行 该 目录 下 的 script 文件 。 


# chmod — R700 /etc/rc.d/init.d/* 


(13) 隐藏 系统 信息 
在 默认 情况 下 登录 到 Linux 系统 时 ,将 显示 该 Linux 发 行 版 的 名 称 \ 版 本 、 内 核 版 本 、 服 
务 器 的 名 称 。 对 于 黑客 来 说 这 些 信息 足够 它 入 侵 系统 的 。 因 此 ,应 将 这 些 系统 信息 隐藏 起 
来 ,只 显示 一 个 login: 提 示 符 。 
编辑 /etc/rc. d/rc. local 文件 ,在 下 面 各 行 前 加 一 个 # ,把 输出 信息 的 命令 隐藏 起 来 。 
# This will overwrite /etc/issue at every boot. So, make any changes you 
# want to make to /etc/issue here or you will lose them when you reboot 
#echo "" > /etc/issue 
#echo " $ R" >> /etc/issue 
#echo "Kernel $ (uname —r) on $a $ (uname — m)" >> /etc/issue 
# 


#cp -ff /etc/issue /etc/issue. net 
#echo >> /etc/issue 


其 次 删除 /etc 目录 下 的 issue. net 和 issue 文件 : 


# rm -上 /etc/issue 
# rm 一 上 /etc/issue.net 


侣 题 和 思考 是 


一 、 问 答题 
. 常用 的 网 络 操作 系统 有 哪些 ? 
. 什么 是 系统 漏洞 补丁 ? 其 作用 是 什么 ? 
. 简 述 常用 的 访问 控制 措施 。 
. 人 网 访问 控制 通常 包括 哪 几 方面 ? 
. 简 述 选择 口令 和 保护 口令 的 方法 。 
. 简 述 Windows 系统 的 漏洞 。 
. 简 述 Windows 2000/2003 系统 新 增加 和 改进 的 安全 措施 和 技术 。 
. 简 述 Linux 系统 的 安全 性 。 
. 简 述 对 一 般 用 户 账 号 的 管理 措施 。 
二 、 填空 题 
1. 网 络 访问 控制 可 分 为 ( ) 和 ( ) 两 大 类 。 
ii ) 访 问 控制 指 由 系统 提供 用 户 有 权 对 自身 所 创建 的 访问 对 象 进行 访问 ,并 可 将 
对 这 些 对 象 的 访问 权 授予 其 他 用 户 和 从 授予 权限 的 用 户 收 回 其 访问 权限 。 


iD oo 站 四 思 上 


第 3 章 ”网 络 操作 系统 安全 与 管理 实践 


3. 常用 的 身份 验证 方法 有 用 户 名 和 口令 验证 、( ) 、Security ID 验证 和 ( ) 等 。 

4. 网 络 操作 系统 的 主要 安全 功能 包括 ( ) .文件 保护 、《 ) 和 ( jE: 

5. 入网 访问 控制 主要 就 是 对 要 进入 系统 的 用 户 进行 识别 ,并 验证 其 合法 身份 。 系 统 可 
以 采用 ( yt ) 和 ( ) 等 方法 实现 人 网 访问 控制 。 

6. 补丁 程序 是 ( ) 小 程序 。 

7. 安装 补丁 程序 的 方法 通常 有 ( ) 和 手工 操作 。 

三 、 单 项 选择 题 

1. 网 络 访问 控制 可 分 为 自主 访问 控制 和 强制 访问 控制 两 大 类 。(1)( ) 是 指 由 系统 
对 用 户 所 创建 的 对 象 进行 统一 的 限制 性 规定 。(2)( ) 是 指 由 系统 提供 用 户 有 权 对 自身 
所 创建 的 访问 对 象 进行 访问 ,并 可 将 对 这 些 对 象 的 访问 权 授予 其 他 用 户 和 从 授予 权限 的 用 
户 收回 其 访问 权限 。 用 户 名 /口令 、 权 限 安全 、 属 性 安全 等 都 属于 (3)( Ys 

(1) A. 服务 器 安全 控制 B. 检测 和 锁定 控制 


C. 自主 访问 控制 D. 强制 访问 控制 
(2) A. 服务 器 安全 控制 B. 检测 和 锁定 控制 
C. 自主 访问 控制 D. 强制 访问 控制 
(3) A. 服务 器 安全 控制 B. 检测 和 锁定 控制 
C. 自主 访问 控制 D. 强制 访问 控制 


2. 用 户 名 /口令 限制 ,账户 锁定 .身份 认证 \ 入 网 时 间 和 端点 地 址 等 限制 是 系统 访问 控 
制 中 的 ( ) 安 全 措施 。 

A. 入 网 访问 控制 B. 用 户 权限 C. 文件 和 目录 属性 D， 服务 器 保护 

四 、 实 验 题 

1. 利用 系统 的 “本 地 连接 ”功能 关闭 不 必要 的 端口 。 

2. 利用 “组 策略 编辑 器 ”或 “本 地 安全 策略 ”杜绝 非法 访问 应 用 程序 、 关 闭 自 动 播放 服 
务 .删除 默认 共享 、 清 空 远程 可 访问 的 注册 表 路 径 .账户 锁定 设置 .设置 密码 .安全 审核 。 

3. 对 IE 进行 安全 设置 。 
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随 着 信息 技术 的 发 展 和 计算 机 通信 网 络 的 广泛 应 用 ,世界 正 步 人 网 络 经 济 时 代 。 对 更 
有 效 的 生产 和 产品 销售 渠道 的 需求 ,引发 了 人 们 对 高 技术 生产 力 的 要 求 ,由 此 产生 了 一 批 具 
有 代表 性 的 网 络 经 济 模式 ,如 电子 商务 (electronic commerce) .电子 现金 (electronic cash) 、 
数字 货币 (digital cash)、 网 络 银行 (network bank) 等 。 有 专家 预言 ,到 2010 年 底 ,发 生 在 
Internet 上 的 贸易 金额 将 会 达到 100 000 亿美 元 。 

为 了 保障 计算 机 网 络 的 安全 ,需要 采取 严格 的 管理 和 各 种 先进 技术 。 安 全 立法 对 保护 
网 络 系统 安全 有 不 可 蔡 代 的 重要 作用 ,但 依靠 法 律 也 阻止 不 了 攻击 者 对 网 络 数据 的 各 种 威 
胁 。 加 强行 政 、 人 事 管 理 ,采取 物理 保护 措施 等 都 是 保护 系统 安全 不 可 缺少 的 有 效 措施 ,但 
有 时 这 些 措 施 也 会 受到 各 种 环境 、 技 术 、 费 用 以 及 系统 工作 人 员 素质 等 条 件 的 限制 。 采 用 访 
问 控制 ,系统 软 硬 件 保 护 等 方法 保护 网 络 系统 资源 ,简单 易 行 ,但 也 存在 诸如 系统 内 部 某 些 
职员 可 以 轻松 越过 这 些 障 碍 而 进行 计算 机 犯罪 等 不 易 解 决 的 问题 。 采 用 密码 技术 保护 网 络 
中 存储 和 传输 的 数据 ,是 一 种 非常 实用 、 经 济 ` 有 效 的 方法 。 对 信息 进行 加 密 保 护 可 以 防止 
攻击 者 窃取 网 络 机 密 信 息 , 可 以 使 系统 信息 不 被 无 关 人 员 识别 ,也 可 以 检测 出 非法 用 户 对 数 
据 的 搬入、 删除、 修改 及 滥用 有 效 数据 的 各 种 行为 。 

本 章 主要 介绍 密码 学 基础 ,数据 加 密 算法 ,数字 签名 和 密 钥 管理 等 常用 的 数据 保密 技术 
和 方法 。 


人 1 密码 学 基础 


密码 学 (cryptography) 是 一 门 古老 的 学 科 ,在 古代 就 已 经 得 到 应 用 ,但 仅 限 于 外 交 和 军 
事 等 重要 领域 。 随 着 现代 计算 机 技术 的 飞速 发 展 ,密码 技术 正在 不 断 向 更 多 其 他 领域 渗透 。 
密码 技术 是 保障 信息 安全 的 核心 技术 ,是 保证 计算 机 网 络 安全 的 理论 基础 。 

在 计算 机 网 络 系统 中 ,采用 密码 技术 将 信息 隐蔽 起 来 ,再 将 隐蔽 后 的 信息 进行 存储 和 传 
输 。 这 样 ,即使 信息 在 存储 或 传输 过 程 中 被 窃取 或 截获 ,那些 非法 获得 信息 者 因 不 了 解 这 些 
信息 的 隐蔽 规律 ,也 就 无 法 识别 信息 的 内 容 , 从 而 保证 了 计算 机 网 络 系统 中 的 信息 安全 。 


4.1.1 密码 学 的 基本 概念 
1. 密码 学 简介 
时 在 几 千年 前 .人 类 就 已 经 有 了 保密 通信 的 思想 和 方法 ,但 这 些 保密 方法 都 是 非常 朴 
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素 、. 原 始 和 低级 的 ,而 且 大 多 数 是 无 规律 的 。 有 记载 ,最 早 的 密码 系统 可 能 是 希腊 历史 学 家 
发 明 的 Polybios, 这 是 一 种 替代 密码 系统 。 

到 了 20 世纪 60 年 代 , 随 着 电子 技术 、 信 息 技术 的 发 展 及 结构 代数 .可 计算 性 理论 和 复 
杂 度 理论 的 研究 ,密码 学 又 进入 了 一 个 新 的 时 期 。 近 年 来 ,密码 学 研究 之 所 以 十 分 活跃 , 主 
要 是 它 与 计算 机 科学 的 攻 勃 发 展 密切 结合 起 来 。 此 外 ,还 有 在 电信 、 金 融 领域 和 防止 日 益 广 
泛 的 计算 机 犯罪 的 需要 。 在 Internet 出 现 之 前 ,密码 技术 已 经 广泛 应 用 于 军事 和 民用 方面 。 
现在 ,密码 技术 应 用 于 计算 机 网 络 中 的 实例 越 来 越 多 。 

现代 密码 学 是 研究 利用 现代 技术 手段 对 计算 机 系统 中 的 数据 进行 加 密 、 解 密 和 变换 的 
学 科 , 是 数学 和 计算 机 科学 交叉 的 学 科 ,也 是 一 门 新 兴 的 学 科 。 随 着 计算 机 网 络 和 现代 通信 
技术 的 发 展 , 现 代 密 码 学 得 到 了 前 所 未 有 的 发 展 和 应 用 。 在 国外 ,现代 密码 学 已 成 为 计算 机 
系统 安全 的 主要 研究 方向 ,也 是 计算 机 安全 课程 教学 中 的 主要 内 容 。 

密码 学 包括 密码 编码 学 和 密码 分 析 学 两 部 分 。 前 者 是 研究 密码 变化 的 规律 并 用 于 编制 
密码 ,以 保护 秘密 信息 的 科学 , 即 研究 如 何 通过 编码 技术 来 改变 被 保护 信息 的 形式 ,使 得 编 
码 后 的 信息 除 指定 接收 者 之 外 的 其 他 人 都 不 能 理解 ; 后 者 是 研究 密码 变化 的 规律 并 用 于 分 
析 ( 解 释 ) 密 码 , 以 获取 信息 情报 的 科学 , 即 研究 如 何 攻破 一 个 密码 系统 ,恢复 被 隐藏 起 来 的 
信息 的 本 来 面目 。 密 码 编码 学 是 实现 对 信息 保密 的 ,密码 分 析 学 是 实现 对 信息 解密 的 ,这 两 
部 分 相辅相成 ,互相 促进 ,也 是 矛盾 的 两 个 方面 。 

在 20 世纪 70 年 代 , 密 码 学 的 研究 出 现 了 两 大 成 果 : 一 个 是 1977 年 美国 国家 标准 局 
(NBS) 颁 布 的 联邦 数据 加 密 标准 (DES); 另 一 个 是 1976 年 由 Diffie 和 Hellman 提出 的 公 
钥 密 码 体制 的 新 概念 。DES 将 传统 的 密码 学 发 展 到 了 一 个 新 的 高 度 , 公 钥 密 码 体制 的 提出 
被 公认 为 是 实现 现代 密码 学 的 基石 。 这 两 大 成 果 已 成 为 近代 密码 学 发 展 史 上 两 个 重要 的 里 
程 碑 。 

密码 学 是 集 数 学 、 计 算 机 、 电 子 与 通信 等 诸多 学 科 于 一 身 的 交叉 学 科 。 它 的 主要 任务 是 
研究 计算 机 系统 和 通信 网 络 内 信息 的 保护 方法 ,以 实现 系统 内 信息 的 安全 保密、 真实 和 完 
整 。 所 以 ,使 用 密码 技术 不 仅 可 以 保证 信息 的 机 密 性 ,而 且 可 以 保证 信息 的 完整 性 和 正确 
性 ,防止 信息 被 自 改 ,伪造 和 假冒 。 随 着 计算 机 网 络 不 断 渗透 到 各 个 领域 ,密码 学 的 应 用 范 
围 也 随 之 扩大 。 数 字符 名、 身份 验证 等 都 是 由 密码 学 派生 出 来 的 新 技术 和 应 用 。 


2. 密码 学 的 基本 概念 


(1) 加 密 与 解密 

在 密码 学 中 ,通过 使 用 某 种 算法 并 使 用 一 种 专门 信息 一 一 密 钥 ,将 信息 从 一 个 可 理解 的 
明码 形式 变换 成 一 个 错乱 的 不 可 理解 的 密码 形式 ,只 有 再 使 用 密 钥 和 相应 的 算法 才能 把 密 
码 还 原 成 明码 。 

明文 (plain text) 也 叫 明 码 , 是 信息 的 原文 ,在 网 络 中 也 叫 报 文 (message) ,通常 指 待 发 
的 电文 、 编 写 的 专用 软件 、 源 程序 等 ,可 用 了 或 M 表示 。 密 文 (cipher text) 又 叫 密 码 ,是 明 
文 经 过 变换 后 的 信息 ,一 般 是 难以 识别 的 ,可 用 C 表示 。 

把 明文 变换 成 密 文 的 过 程 就 是 加 密 (encryption) ,其 反 过 程 (把 密 文 还 原 为 明文 ) 就 是 
解密 (decryption) 。 一 般 的 密码 系统 模型 如 图 4. 1 所 示 。 
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明文 P | 密 文 C 明文 P 


加 密 (E) 一 | 解密 (D) 
| | | 
加 密 密 角 攻击 者 解密 密 角 


密 
图 4.1 一 般 的 密码 系统 示意 图 


密码 算法 (Algorithm) 是 加 密 和 解密 变换 的 一 些 公 式 、 法 则 或 程序 ,多 数 情 况 下 是 一 些 
数学 函数 。 密 码 算法 规定 了 明文 和 密 文 之 间 的 变换 规则 。 加 密 时 使 用 的 算法 称 为 加 密 算 
法 ,解密 时 使 用 的 算法 称 为 解密 算法 。 

密 钥 (Key) 是 进行 数据 加 密 或 解密 时 所 使 用 的 一 种 专门 信息 (工具 ), 可 看 成 是 密码 中 
的 参数 ,用 KK 表示 。 加 密 时 使 用 的 密 钥 称 为 加 密 密 钥 ,解密 时 使 用 的 密 钥 称 为 解密 密 钥 。 

密码 系统 是 主要 由 密码 算法 和 密 钥 组 成 的 可 进行 加 密 和 解密 信息 的 系统 。 

数据 加 密 过 程 就 是 利用 加 密 密 钥 ,对 明文 按照 加 密 算法 的 规则 进行 变换 ,得 到 密 文 的 过 
程 。 解 密 过 程 就 是 利用 解密 密 钥 ,对 密 文 按照 解密 算法 的 规则 进行 变换 ,得 到 明文 的 过 程 。 

因为 密码 算法 可 以 公开 ,也 可 以 被 分 析 , 可 以 大 量 生产 使 用 算法 的 产品 ,所 有 加 密 系统 
的 安全 性 一 般 是 基于 密 钥 的 安全 性 ,而 不 是 基于 算法 细节 的 安全 性 。 只 要 破译 者 不 知道 你 
使 用 的 密 钥 ,他 就 对 你 的 密码 系统 无 能 为 力 ,就 不 能 破译 你 的 密 文 。 

(2) 替代 密码 和 移 位 密码 

替代 密码 也 称 为 置换 密码 。 幸 代 密 码 就 是 在 加 密 时 将 明文 中 的 每 个 或 每 组 字符 由 另 一 
个 或 男 一 组 字符 所 替换 , 原 字 符 被 隐藏 起 来 , 即 形成 密 文 。 

移 位 密码 也 称 为 换 位 密码 。 移 位 密码 是 在 加 密 时 只 对 明文 字母 (字符 、 符 号) 重新 排序 ， 
每 个 字母 位 置 变化 了 ,但 没 被 隐藏 起 来 。 移 位 密码 是 一 种 打 乱 原文 顺序 的 加 密 方法 。 

替代 密码 加 密 过 程 是 明文 的 字母 位 置 不 变 而 字母 形式 变化 , 移 位 密码 加 密 是 字母 的 形 
式 不 变 而 位 置 变化 。 

(3) 分 组 密码 和 序列 密码 

按 明文 加 密 时 的 处 理 过 程 划 分 ,可 分 为 分 组 密码 和 序列 密码 。 

分 组 密码 的 加 密 过 程 是 : 首先 将 明文 序列 以 固定 长 度 进行 分 组 ,每 组 明文 用 相同 的 密 
钥 和 算法 进行 变换 ,得 到 一 组 密 文 。 因 此 ,可 以 说 分 组 密码 是 以 分 组 为 单位 ,在 密 钥 的 控制 
下 进行 一 系列 线性 和 非 线 性 变换 而 得 到 密 文 的 。 加 密 算法 中 重复 地 使 用 替代 和 移 位 两 种 基 
本 的 加 密 变 换 。 分 组 密码 具有 良好 的 扩散 性 、 对 插入 信息 的 敏感 性 高 较 强 的 适应 性 、 加 密 / 
解密 速度 慢 、 不 需要 密 钥 同步 等 特点 。 

序列 密码 的 加 密 过 程 是 : 把 报 文 、 语 音 、 图 像 等 原始 信息 转换 为 明文 数据 序列 ,再 将 其 
与 密 钥 序 列 进行 “ 异 或 ”运算 ,生成 密 文 序列 发 送 给 接收 者 。 接 收 者 用 相同 的 密 钥 序 列 与 密 
文 序列 再 进行 逐 位 解密 ( 异 或 ) ,恢复 明文 序列 。 序 列 密码 加 /解密 的 密 钥 ,可 采用 一 个 比特 
流 发 生 器 随机 产生 二 进 制 比特 流 得 到 。 这 些 随 机 比特 流 作为 密 钥 ,与 明文 结合 产生 密 文 ,与 
密 文 结 合 产生 明文 。 序 列 密码 的 安全 性 主要 依赖 于 随机 密 钥 序列 。 

(4) 对 称 密 钥 密 码 和 非 对 称 密 钥 密码 

按 加 密 和 解密 密 钥 的 类 型 可 分 为 对 称 密 钥 密码 和 非 对 称 密 钥 密码 。 

加 密 和 解密 过 程 都 是 在 密 钥 的 作用 下 进行 的 。 如 果 加 密 密 钥 和 解密 密 钥 相同 或 相近 ， 
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由 其 中 一 个 很 容易 地 得 出 男 一 个 ,这 样 的 系统 称 为 对 称 密 钥 密 码 系统 。 在 这 种 系统 中 ,加 密 
和 解密 密 钥 都 需要 保密 。 对 称 密 钥 密 码 系统 也 称 为 单 密 钥 密码 系统 或 传统 密 钥 密码 系统 。 

如 果 加 密 密 钥 与 解密 密 钥 不 同 , 且 由 其 中 一 个 不 容易 得 到 另 一 个 , 则 这 种 密码 系统 是 非 
对 称 密 钥 密码 系统 。 这 两 个 不 同 的 密 钥 ,往往 其 中 一 个 是 公开 的 , 另 一 个 是 保密 的 。 因 此 ， 
非 对称 密 钥 密 码 系统 也 称 为 双 密 钥 密码 系统 或 公开 密 钥 密码 系统 。 


4.1.2 传统 密码 技术 


数据 的 表示 有 多 种 形式 ,使 用 最 多 的 是 文字 ,其 次 还 有 图 形 声音、 图 像 等 。 传 统 加 密 方 
法 加 密 的 对 象 是 文字 信息 。 文 字 由 字母 组 成 ,在 字母 表 中 26 个 英文 字母 是 按 顺 序 排列 的 ， 
赋予 它们 相应 的 数字 序号 ,如 A 对 应 序号 1,B 对 应 序号 2,… ,2Z 对 应 序号 26 。 因 为 大 多 数 
加 密 算法 都 有 数学 属性 ,这 种 表示 方法 便于 对 字母 进行 算术 运算 ,因此 可 用 数学 方法 进行 加 
密 变 换 。 将 字母 表 中 的 字母 看 做 是 循环 的 ,将 字母 的 加 减 运算 变换 为 相应 代码 的 算术 运算 ， 
可 用 求 模 运算 来 表示 (在 标准 的 英文 字母 表 中 , 模 数 为 26) ,如 A 十 4= 眉 ,X 十 10 王 H( 因 为 X 
序号 24,24 十 10 王 34,34(mod 26) 一 8 ,序号 8 对 应 的 字母 为 “H”)。 


1. 替代 密码 


替代 密码 在 加 密 时 将 一 个 字母 或 一 组 字母 的 明文 用 另 一 个 字母 或 一 组 字母 替代 ,而 得 
到 密 文 。 在 传统 密码 学 中 ,替代 密码 有 简单 蔡 代 、 多 字母 蔡 代 和 多 表 蔡 代 等 类 型 。 

简单 蔡 代 密码 也 称 为 单 表 替代 密码 。 简 单 蔡 代 就 是 将 明文 的 一 个 字母 ,用 相应 的 一 个 
密 文字 母 代替 ,规则 是 根据 密 钥 形成 一 个 新 的 字母 表 , 与 原 明文 字母 表 有 相应 的 对 应 (映射 ) 
关系 。 简 单 蔡 代 加 密 方法 有 移 位 映射 法 、 倒 映射 法 和 步 长 映射 法 等 。 简 单 蔡 代 密 码 很 容易 
破译 ,因为 它 没有 把 明文 不 同 字母 出 现 的 频率 隐藏 起 来 ,所 有 密 文 都 是 由 26 个 英文 字母 组 
成 ,字母 出 现 的 统计 规律 不 变 。 破 译 这 种 密码 的 算法 已 经 有 很 多 种 。 

例 4-1 移 位 映射 替代 过 程 是 用 循环 右 移 或 循环 左 移 一 定位 数 的 字符 蔡 代 原 字符 的 过 
程 。 如 将 英文 字母 按 顺 序 循 环 右 移 5 位 进行 替代 ,就 可 将 about 加 密 为 fgtzy, 将 encryption 
加 密 为 jshwduynts。 

多 字母 蔡 代 密码 的 加 密 和 解密 都 是 将 字母 以 块 为 单位 进行 的 ,比如 ,ABA 对 应 于 OST， 
ABB 对 应 于 STL。 在 第 一 次 世界 大 战 中 ,英国 人 就 采用 了 这 种 对 成 组 字母 加 密 的 密码 。 

多 表 替 代 密 码 是 19 世纪 后 期 发 明 的 ,在 美国 南北 战争 期 间 由 联军 使 用 。 多 表 替 代 密 码 
是 由 多 个 简单 蔡 代 密码 构成 。 一 种 典型 的 多 表 替 代 密码 叫 Vigenere( 维 吉 尼 亚 ) 密 码 。 


2. 移 位 密码 
移 位 密码 加 密 时 只 对 明文 字母 重新 排序 ,字母 位 置 变化 了 ,但 它们 没有 被 隐藏 。 移 位 密 
码 加 密 是 一 种 打 乱 原文 顺序 的 替代 法 。 


例 4-2 把 明文 “this is a bookmark” 按 行 写 出 ,分 为 三 行 五 列 , 则 成 为 以 下 形式 : 
SE | 


s & Pb 6 0 
k ma rk 
读 出 时 按 从 左 到 右 的 列 顺序 进行 ,可 得 到 密 文 tskhamibasoriok。 该 例 的 密 钥 就 是 
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12345, 即 按 列 读 出 的 顺序 。 

例 4-3 对 上 例 还 可 以 用 另 一 种 顺序 选择 相应 的 列 输出 得 到 密 文 。 如 用 china 为 密 钥 ， 
对 this is a bookmark 排列 成 上 述 和 矩阵 。 密 钥 china 对 应 的 序号 为 23451, 再 以 从 小 到 大 的 
顺序 输出 , 即 可 得 到 密 文 ioktskhamibasor。 

例 4-4 对 于 句子 “ 移 位 密码 加 密 时 只 对 明文 字母 重新 排序 字母 位 置 变化 但 它们 没 被 
隐藏 ”, 可 选择 密 钥 “362415”, 并 循环 使 用 该 密 钥 对 上 和 句 进 行 换 位 加 密 。 密 钥 的 数字 序列 代 
表明 文字 符 ( 汉 字 ) 在 密 文 中 的 排列 顺序 。 按 照 该 密 钥 加 密 可 得 到 一 个 不 可 理解 的 新 句子 
( 密 文 )“ 密 密 位 码 移 加 对 字 只 明 时 文 新 字 重 排 母 序 置 但 位 变 母 化 没 藏 们 被 它 隐 ”。 解 密 时 只 
需 按 密 钥 362415 的 数字 从 小 到 大 顺序 将 对 应 的 密 文字 符 排列 , 即 可 得 到 明文 。 


3. 一 次 一 密 钥 密 码 


一 次 一 密 钥 密码 就 是 指 每 次 都 使 用 一 个 新 的 密 钥 进行 加 密 , 然 后 该 密 钥 就 被 丢弃 ,下 次 
再 加 密 时 再 选择 一 个 新 密 钥 进 行 。 一 次 一 密 钥 密码 是 一 种 理想 的 加 密 方案 。 一 次 一 密 钥 密 
码 的 密 钥 就 像 每 页 都 印 有 密 钥 的 簿 子 一 样 , 称 为 一 次 一 密 密 钥 本 ,该 密 钥 本 就 是 一 个 包括 多 
个 随机 密 钥 的 密 钥 字 母 集 ,其 中 每 一 页 上 记录 一 条 密 钥 。 加 密 时 使 用 一 次 一 密 密 钥 本 的 过 
程 类 似 于 日 历 的 使 用 过 程 ,每 使 用 一 个 密 钥 加 密 一 条 信息 后 ,就 将 该 页 撕 掉 作废 ,下 次 加 密 
时 再 使 用 下 一 页 的 密 钥 。 

发 送 者 使 用 密 钥 本 中 每 个 密 钥 字母 串 去 加 密 一 条 明文 字母 串 , 加 密 过 程 就 是 将 明文 字 
母 串 和 密 钥 本 中 的 密 钥 字 母 串 进行 模 26 加 法 运算 。 接 收 者 有 一 个 同样 的 密 钥 本 ,并 依次 使 
用 密 钥 本 上 的 每 个 密 钥 去 解密 密 文 的 每 个 字母 串 。 接 收 者 在 解密 信息 后 也 销毁 密 钥 本 中 用 
过 的 一 页 密 钥 。 

一 次 一 密 钥 密码 主要 用 于 高 度 机 密 的 低 带宽 信道 。 美 国 与 前 苏联 之 间 的 热线 电话 据说 
就 是 用 一 次 一 密 密 钥 本 加 密 的 ,许多 前 苏联 间谍 传递 的 信息 也 是 用 一 次 一 密 密 钥 本 加 密 的 。 
至 今 这 些 信息 仍 是 保密 的 ,并 将 一 直 保 密 下 去 。 不 管 超级 计算 机 工作 多 久 , 也 不 管 有 多 少 人 
用 什么 样 的 方法 和 技术 ,具有 多 大 的 计算 能 力 ,他 们 都 不 能 阅读 前 苏联 间谍 用 一 次 一 密 密 钥 
本 加 密 的 信息 ,除非 他 们 恰好 回 到 那个 年 代 , 并 得 到 加 密 信息 的 一 次 一 密 密 钥 本 。 


人 2 数据 加 密 技 术 


4.2.1 对 称 密 钥 密码 体制 及 算法 
1. 对 称 密 钥 密码 的 概念 


对 称 密 钥 密 码 体制 也 称 为 传统 密 钥 密 码 体制 ,其 基本 思想 就 是 “加 密 密 钥 和 解密 密 钥 相 
同 或 相近 ”, 由 其 中 一 个 可 推导 出 另 一 个 。 使 用 时 对 称 密 钥 
两 个 密 钥 均 需 保密 ,因此 该 体制 也 称 为 单 密 钥 密 码 
体制 。 对 称 密 钥 密码 体制 模型 如 图 4. 2 所 示 。 明文 输入 [而 铭 ] 窗 文 C [区 富 ] 明 文 输出 
一 个 对 称 密 钥 密码 体制 的 工作 流程 是 : 假定 ?一 “| 了 


算法 算法 
A 和 BB 是 两 个 系统 ,二 者 决定 进行 保密 通信 。A 和 图 4.2 对称 密 钥 密 码 体制 模型 
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B 通过 某 种 方式 获得 一 个 可 共用 的 秘密 密 钥 ,该 密 钥 只 有 A 和 B 知道 ,其 他 用 户 都 不 知道 。 
A 或 BB 通过 使 用 该 密 钥 加 密 发 送 给 对 方 的 信息 , 收 到 后 用 已 知 的 密 钥 解密 ,其 他 用 户 均 无 
法 解密 该 信息 ,这 样 就 达到 了 信息 传输 的 保密 性 目的 。 


2. 对 称 密 钥 密 码 算法 


典型 的 对 称 密 钥 密码 算法 有 DES、TDEA(3DES) .IDEA、AES、MD5 等 。 

(1) DES 算法 简介 

数据 加 密 标 准 (DES) 是 由 IBM 公司 研制 的 ,并 经 长 时 间 论 证 和 筛选 后 ,于 1977 年 由 美 
国 国 家 标准 局 颁布 的 一 种 加 密 算法 。DES 主要 用 于 民用 敏感 信息 的 加 密 ,1981 年 被 国际 标 
准 化 组 织 接纳 为 国际 标准 。DES 主要 采用 蔡 换 和 移 位 的 方法 加 密 。 它 用 56 位 密 钥 对 64 
位 二 进 制 数据 块 进行 加 密 , 每 次 加 密 可 对 64 位 的 输入 数据 进行 16 轮 编 码 , 经 一 系列 替换 和 
移 位 后 ,输入 的 64 位 原始 数据 就 转换 成 了 完全 不 同 的 64 位 输出 数据 。DES 算法 仅 使 用 最 
大 为 64 位 的 标准 算术 和 逻辑 运算 ,运算 速度 快 , 密 钥 产生 容易 ,适合 于 大 多 数 计算 机 上 用 软 
件 方法 实现 ,同时 也 适合 于 在 专用 芯片 上 实现 。 

DES 算法 能 对 64 位 二 进 制 数码 组 成 的 数据 组 在 56 输入 64 位 明文 ( 密 文 ) 64 位 密 钥 组 
位 密 钥 的 控制 下 进行 加 密 和 解密 ,56 位 密 钥 包含 在 64 
位 密 钥 组 中 。 图 4. 3 是 DES 加 密 /解密 算法 示意 图 。 初始 置换 (IP) 
DES 是 一 个 对 称 算法 ,加 密 和 解密 使 用 同一 算法 ,只 是 加 1 
密 和 解密 时 使 用 的 子 密 钥 顺 序 不 同 。 [乘积 变换 ”一 ( 子 密 钥 生 成 ) 

如 图 4. 3 所 示 ,DES 算法 是 按 下 列 四 个 主要 过 程 实 
现 的 。 图 的 左边 是 明文 的 处 理 过 程 ,有 3 个 阶段 ,右边 是 【| 逆 初 始 置换 (IP-) 
子 密 钥 的 生成 过 程 。 ' 

。 子 密 钥 生成 : 由 64 位 外 部 输入 密 钥 组 通过 置换 箱 出 64 位 密 文明 广 ) 
选择 和 移 位 操作 生成 加 密 和 解密 所 需 的 16 组 子 图 4.3 DES 算法 流程 略图 
密 钥 ,每 组 56 位 。 
初始 置换 (Cinitial permutation,IP) : 初始 置换 在 第 一 轮 运算 之 前 进行 ,用 来 对 输入 的 
64 位 数据 组 进行 换 位 变换 , 即 按照 规定 的 矩阵 改变 数据 位 的 排列 顺序 。 此 过 程 是 
对 输入 的 64 位 数据 组 进行 的 与 密 钥 无 关 的 变换 。 
乘积 变换 : 该 过 程 与 密 钥 有 关 , 它 包括 多 次 线性 变换 和 非 线 性 变换 , 且 非 常 复杂 ,是 
加 密 过 程 的 关键 。 它 采用 的 是 分 组 密码 ,通过 16 次 重复 的 替代 、 移 位 、 异 或 和 置换 
来 打 乱 原 输 入 数据 组 。 打 乱 了 原 输入 数据 组 ,加 大 了 非 规律 性 ,增加 了 系统 分 析 的 
难度 。 在 使 用 计算 机 处 理 时 ,把 大 的 数据 组 作为 一 个 单元 来 进行 变换 ,其 优点 是 增 
加 替代 和 重新 排列 方式 的 种 类 。 
道 初始 置换 (IP-) : 逆 初 始 置换 (也 称 为 未 置换 ) 是 DES 算法 的 最 后 一 步 , 与 初始 置 
换 处 理 过 程 相同 ,置换 矩阵 是 初始 置换 的 逆 矩 阵 。 道 初始 置换 是 一 次 简单 的 数码 换 
位 ,也 是 线性 变换 ,该 变换 与 密 钥 无 关 。 

由 于 DES 算法 可 用 56 位 密 钥 组 把 64 位 明文 (或 密 文 ) 数 据 加 密 ( 或 解密 ) 成 64 位 密 文 
(或 明文 ) 数 据 组 , 故 当 DES 算法 作为 一 种 标准 算法 公开 的 情况 下 ,信息 的 秘密 完全 寓于 56 
位 密 钥 之 中 ,因此 如 何 选 取 密 钥 十 分 重要 。 
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DES 是 世界 上 使 用 最 为 广泛 和 流行 的 一 种 分 组 密码 算法 ,被 公认 为 世界 上 第 一 个 实用 
的 密码 算法 标准 。 它 的 出 现 适 应 了 电子 化 和 信息 化 的 要 求 ,也 适合 于 硬件 实现 ,因此 该 算法 
被 制 成 专门 的 芯片 ,应 用 于 加 密 机 中 。 

DES 算法 具有 算法 容易 实现 .速度 快 .通用 性 强 等 优点 ,但 也 存在 密 钥 位 数 少 ,保密 强 
度 较 差 和 密 钥 管 理 复杂 的 缺点 。 

DES 算法 具体 在 POS、ATM( 自 动 取款 机 )、 磁 卡 及 智能 卡 (IC 卡 )、 加 油 站 、 高 速 公路 收 
费 站 等 领域 被 广泛 应 用 ,以 此 来 实现 关键 数据 的 保密 。 如 信用 卡 持 卡 人 PIN 的 加 密 传输 ， 
IC 卡 与 POS 间 的 双向 认证 、 金 融 交 易 数据 包 的 MAC 校 验 等 均 可 使 用 DES 算法 。 

DES 在 问世 后 的 20 多 年 里 ,成 为 密码 界 研究 的 重点 ,经 受 住 了 许多 科学 家 的 研究 和 破 
译 ,在 民用 密码 领域 得 到 了 广泛 的 应 用 。 它 曾 为 全 球 贸 易 .金融 等 非 官方 部 门 提供 了 可 靠 的 
通信 安全 保障 。DES 标准 生效 后 ,规定 每 隔 5 年 由 美国 国家 安全 局 NSA(National Security 
Agency) 进 行 一 次 评估 ,并 确定 它 是 否 继 续 作 为 联邦 加 密 标 准 使 用 。 

DES 的 缺点 是 密 钥 位 数 太 短 (56 位 ) ,而 且 算法 是 对 称 的 ,使 得 这 些 密 钥 中 还 存在 一 些 
弱 密 钥 和 半 弱 密 钥 ,因此 容易 被 采用 穷尽 密 钥 方法 解密 。 此 外 ,由 于 DES 算法 完全 公开 ,其 
安全 性 完全 依赖 于 对 密 钥 的 保护 ,必须 有 可 靠 的 信道 来 分 发 密 钥 ,如 采用 信使 递送 密 钥 等 。 
因此 ,其 密 钥 管理 过 程 非常 复杂 ,不 适合 在 网 络 环境 下 单独 使 用 ,可 以 与 非 对 称 密 钥 算 法 混 
合 使 用 。 

(2) TDEA 算法 简介 

针对 DES 算法 密 钥 短 的 问题 ,科学 家 提出 在 DES 的 基础 上 采用 三 重 和 双 密 钥 加 密 的 方 


法 ,这 就 是 三 重 DES 算法 TDEA (triple data encryption I 局 疏 
algorithm) 。 pe ey A en 
TDEA 算法 使 用 三 个 密 钥 ,执行 三 次 DES 算法 ， 
如 图 4.4 所 示 。 加 密 过 程 为 : 请 二 本 
C= Exs(Drz (Er (M))) co- eo 


解密 时 按 密 钥 相反 的 顺序 进行 ,可 表述 为 : 
M= Dg(Es (Da(O)) 

其 中 M 表示 明文 ,C 表示 密 文 ,Ek(X) 表 示 使 用 密 钥 K 对 X 进行 加 密 , Dx (X) 表 示 使 用 密 
钥 KK 对 密 文 X 解密 。 

TDEA 算法 使 用 两 个 DES 密 钥 K, 和 K; 进行 三 次 DES 的 加 密 , 其 效果 相当 于 将 密 钥 
长 度 增加 一 倍 。 

(3) IDEA 算法 简介 

国际 数据 加 密 算 法 (international data encryption algorithm,IDEA) 是 瑞士 的 著名 学 者 
提出 的 。IDEA 在 1990 年 被 正式 公布 并 在 以 后 得 到 增强 。 这 种 算法 是 在 DES 算法 的 基础 
上 发 展 起 来 的 ,类 似 于 三 重 DES。 发 展 IDEA 也 是 因为 DES 存在 密 钥 太 短 、 容 易 被 攻破 等 

IDEA 也 是 一 种 分 组 密码 算法 ,分 组 长 度 为 64 位 ,但 密 钥 长 度 为 128 位 。 该 算法 是 用 
128 位 密 钥 对 64 位 二 进 制 码 组 成 的 数据 组 进行 加 密 的 ,也 可 用 同样 的 密 钥 对 64 位 密 文 进 
行 解密 。 

IDEA 与 DES 的 明显 区 别 在 于 循环 函数 和 子 密 钥 生 成 不 同 。 对 循环 函数 来 说 ,IDEA 


图 4.4 三 重 DES 的 加 密 解密 过 程 


第 4 章 ”数据 加 密 技术 与 应 用 实践 


不 使 用 S 盒 变换 ,而 是 依赖 三 种 不 同 的 数学 运算 : XOR、 模 2* 加 法 和 模 2 十 1 乘法 运算 。 
这 些 函 数 结合 起 来 可 以 产生 复杂 的 转换 ,这 些 转换 很 难 进行 密码 分 析 。 子 密 钥 生成 算法 完 
全 依赖 于 循环 移 位 的 应 用 ,但 使 用 方式 复杂 。 

IDEA 算法 设计 了 一 系列 加 密 轮 次 ,每 轮 加 密 都 使 用 从 完整 的 加 密 密 钥 中 生成 的 一 个 
子 密 钥 。 每 轮 次 中 也 使 用 压缩 函数 进行 变换 ,只 是 不 使 用 移 位 置换 。IDEA 中 使 用 的 三 种 
运算 彼此 混合 可 产生 很 好 的 效果 。 运 算 时 IDEA 把 数据 分 为 4 个 子 分 组 ,每 个 分 组 16 位 。 

与 DES 的 不 同 之 处 在 于 ,IDEA 采用 软件 实现 和 硬件 实现 同样 快速 。IDEA 的 密 钥 比 
DES 的 多 一 倍 ,增加 了 破译 难度 ,被 认为 是 多 年 后 都 有 效 的 算法 。 

由 于 IDEA 是 在 美国 之 外 提出 并 发 展 起 来 的 , 避 开 了 美国 法 律 上 对 加 密 技 术 的 诸多 限 
制 , 因 此 ,有 关 IDEA 算法 和 实现 技术 的 书籍 都 可 以 自由 出 版 和 交流 ,可 极 大 地 促进 IDEA 
的 发 展 和 完善 。 

(4) AES 算法 简介 

高 级 加 密 标 准 (advanced encryption standard, AES) 是 由 美国 国家 标准 技术 研究 所 
NIST 1997 年 发 起 征集 的 数据 加 密 标准 , 旨 在 得 到 一 个 非 保 密 的 ,全 球 免费 使 用 的 分 组 加 密 
算法 ,并 能 成 为 替代 DES 的 数据 加 密 标准 。NIST 于 2000 年 选择 了 比利时 两 位 科学 家 提出 
的 Rijndael 作为 AES 的 算法 。 

Rijndael 是 一 种 分 组 长 度 和 密 钥 长 度 都 可 变 的 分 组 密码 算法 ,其 分 组 长 度 和 密 钥 长 度 
分 别 为 128 位 、192 位 和 256 位 。Rijndael 算法 具有 安全 、 高 效 和 灵活 等 优点 ,使 它 成 为 
AES 最 合适 的 选择 。 

QO@ 安全 性 

Rijndael 算法 的 频数 具有 良好 的 随机 特性 ,其 密 文 比特 服从 0. 5 的 二 项 式 分 布 ,因此 其 
安全 性 大 大 增强 。 它 对 抗 线性 攻击 和 差分 攻击 的 能 力也 很 强 。 

@ 高 效 性 

由 于 Rijndael 算法 的 线性 和 非 线性 混合 层 都 采用 矩阵 运算 ,并 且 其 变化 的 轮 数 (8 一 12 
轮 ) 较 少 ,使 得 它 具 有 很 高 的 速度 。 

@ 灵活 性 

Rijndael 满足 了 AES 的 要 求 , 密 钥 长 度 可 为 128 位 、192 位 和 256 位 ,所 以 可 根据 不 同 
的 加 密级 别 选 择 不 同 的 密 钥 长 度 ; 其 分 组 长 度 也 是 可 变 的 ,这 正好 弥补 了 DES 的 不 足 ; 其 
循环 次 数 允 许 在 一 定 范围 内 根据 安全 要 求 进行 选取 。 这 些 都 体现 了 该 算法 的 灵活 性 。 


4.2.2 公开 密 钥 密码 体制 及 算法 


对 称 密 钥 加 密 方法 是 加 密 、 解 密使 用 同样 的 密 钥 ,这 些 密 钥 由 发 送 者 和 接收 者 分 别 保 
存 , 在 加 密 和 解密 时 使 用 。 对 称 密 钥 方法 的 主要 问题 除 密 钥 位 数 少 、 保 密 强 度 不 够 外 ,还 有 
密 钥 管 理 ( 密 钥 的 生成 .管理 ,分 发 等 ) 很 复杂 ,特别 是 随 着 用 户 的 增加 , 密 钥 的 需求 量 成 倍增 
加 。 如 果 网 络 中 及 个 用 户 , 其 中 每 两 个 用 户 之 间 都 需要 建立 保密 通信 时 , 则 系统 中 所 需 的 
密 钥 总 数 达 n(n 一 1)/2 个 ,如 果 两 个 用 户 之 间 可 能 有 多 次 通信 ,而 每 次 通信 的 密 钥 又 不 能 一 
样 ,这 样 网 络 中 需要 的 密 钥 数 又 将 大 量 增加 。 在 网 络 通信 中 ,大 量 密 钥 的 分 配 和 保管 是 一 个 
很 复杂 的 问题 。 
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1. 公开 密 钥 密码 体制 


美国 斯 坦 福 大 学 两 名 学 者 W. Diffie 和 M. Hellman 1976 年 在 IEEE Trans. on 
Information 刊物 上 发 表 了 New Direction in Cryptography 文章 ,提出 了 “公开 密 钥 密码 体 
制 " 的 概念 ,开创 了 密码 学 研究 的 新 方向 。 公 开 密 钥 密 码 体制 的 产生 主要 有 两 个 方面 的 原 
因 : 一 是 由 于 对 称 密 钥 密码 体制 的 密 钥 分 配 问题 ; 另 一 个 是 由 于 对 数字 签名 的 需求 。 

与 对 称 密 钥 加 密 方法 不 同 , 公 开 密 钥 密码 系统 采用 两 个 不 同 的 密 钥 对 信息 进行 加 密 和 
和 解密。 加密 密 钥 与 解密 密 钥 不 同 , 由 其 中 一 个 不 容易 得 到 另 一 个 。 通 常 ,在 这 种 密码 系统 
中 ,加 密 密 钥 是 公开 的 ,解密 密 钥 是 保密 的 ,加 密 和 解密 算法 都 是 公开 的 。 每 个 用 户 有 一 个 
对 外 公开 的 加 密 密 钥 K.( 称 为 公 钥 ) 和 对 外 保密 的 解密 密 钥 Ks( 称 为 私 钥 )。 因 此 这 种 密码 
体制 又 称 为 非 对 称 密 码 体制 公开 密 钥 密 码 体制 。 

虽然 解密 密 钥 理论 上 可 由 加 密 密 钥 推算 出 来 ,但 这 种 算法 设计 在 实际 上 是 不 可 能 的 ; 
或 虽然 能 够 由 加 密 算法 推算 出 解密 算法 ,但 要 花费 很 长 时 间 因 而 使 解密 出 的 信息 失去 时 
效 性 变 得 毫 无 意义 。 所 以 ,将 加 密 密 钥 公开 也 不 会 危害 解密 密 钥 的 安全 。 公 开 密 钥 加 密 
算法 和 解密 算法 都 是 公开 的 。 虽 然 保 密 密 钥 是 由 公开 密 钥 决定 的 ,但 却 不 能 由 公开 密 钥 
计算 出 来 。 

自 公 钥 加 密 体制 问世 以 来 ,学 者 们 提出 了 许多 种 公 钥 加 密 方法 ,如 RSA、 背 包 算 法 、 
ElGamal、Rabin、DH 等 ,它们 的 安全 性 都 是 基于 复杂 的 数学 难题 。 根 据 所 基于 的 数学 难题 
来 区 分 ,有 以 下 三 类 系统 算法 目前 被 认为 是 安全 和 有 效 的 : 大 整数 因子 分 解 系统 (代表 性 算 
法 是 RSA) .椭圆 曲 线 离散 对 数 系统 (ECC) 和 离散 对 数 系统 (代表 性 算法 是 DSA)。 

当前 最 著名 、 应 用 最 广泛 的 公 钥 系统 的 密码 算法 是 RSA, 它 的 安全 性 是 基于 大 整数 因 
子 分 解 的 困难 性 ,而 大 整数 因子 分 解 问 题 是 数学 上 的 著名 难题 ,至 今 没有 有 效 的 方法 予以 解 
决 ,因此 可 以 确保 RSA 算法 的 安全 性 。 

椭圆 曲线 加 密 算法 (elliptic curve cryptography,ECC) 是 基于 离散 对 数 计 算 的 困难 性 。 
ECC 与 RSA 方法 相 比 , 具 有 安全 性 能 更 高 .运算 量 小 处理 速 度 快 .占用 存储 空间 小 、 带 宽 
要 求 低 等 优点 。 因 此 ,ECC 系统 是 一 种 安全 性 更 高 ,算法 实现 性 能 更 好 的 公 钥 系统 。 

数字 签名 算法 (data signature algorithm,DSA) 是 基于 离散 对 数 问题 的 数字 签名 标准 ， 
它 仅 提 供 数 字 签 名 功能 ,不 提供 数据 加 密 功能 。 


2. RSA 算法 简介 


(1) RSA 算法 

RSA 是 由 美国 MIT 的 3 位 科学 家 Rivest、Shamir 和 Adleman 于 1976 年 提出 的 , 故 命 
名 RSA, 并 在 1978 年 正式 发 表 。RSA 系统 是 公 钥 系统 的 最 具有 典型 意义 的 方法 ,大 多 数 使 
用 公 钥 密码 进行 加 密 和 数字 签名 的 产品 和 标准 使 用 的 都 是 RSA 算法 。RSA 算法 的 优点 主 
要 在 于 原理 简单 ,易于 使 用 。RSA 是 建立 在 素数 理论 (Euler 函数 和 欧 几 里 得 定理 ) 基 础 上 
的 算法 。 

在 此 不 介绍 RSA 的 理论 基础 (复杂 的 数学 分 析 和 理论 推导 ) ,只 简单 介绍 密 钥 的 选取 和 
加 、 解 密 的 实现 过 程 。 

假设 用 户 A 在 系统 中 要 进行 数据 加 密 和 解密 , 则 可 根据 以 下 步骤 选择 密 钥 和 进行 加 / 
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解密 变换 : 
J@ 随机 地 选取 两 个 不 同 的 大 素数 p 和 4 (一 般 为 100 位 以 上 的 十 进 制 数 ) 予 以 保密 。 
加 计算 n 二 p "gq, 作为 A 的 公开 模 数 。 
@ 计算 Euler 函数 
Dn) = (po—1). (g—1)(modn) 
@ 随机 地 选取 一 个 与 (p 一 1)，(g 一 1) 互 素 的 整数 e, 作 为 A 的 公开 密 钥 。 
@ 用 欧 几 里 得 算法 ,计算 满足 同 余 方程 
ed 二 1 (mod $B(n)) 


的 解 d, 作 为 A 的 保密 密 钥 。 
任何 向 A 发 送 明文 M 的 用 户 , 均 可 用 A 的 公开 密 钥 e 和 公开 模 数 ,根据 式 
C= M(modn) 
得 到 密 文 C。 
@ 用 户 A 收 到 C 后 ,可 利用 自己 的 保密 密 钥 4 ,根据 
M= C’(modn) 


得 到 明文 M。 

(2) RSA 算法 举例 

RSA 算法 为 公用 网 络 上 信息 的 加 密 和 验证 提供 了 一 种 基本 的 方法 。 它 通常 是 先生 成 
一 对 RSA 密 钥 ,其 中 之 一 是 保密 密 钥 ,由 用 户 保存 ; 另 一 个 为 公开 密 钥 ,可 对 外 公开 ,甚至 
可 在 网 络 服务 器 中 注册 。 假 设 B 要 接收 A 的 保密 消息 , 则 要 生成 私 钥 (D) 和 公 钥 (E) ,然后 
将 公 钥 和 数字 N 发 给 A。A 用 E 和 NN 加 密 消息 ,然后 将 加 密 的 消息 发 给 B。B 用 私 钥 (D) 
解密 消息 。 

例 4-5 对 明文 “18” 进 行 加 密 、 传 输 和 解密 。 

J@ 选 密 钥 

选择 两 个 素数 p= 二 3,g 二 7; 则 n= 二 pXg= 二 3X7==21; 因此 得 ,G(z) 一 12。 

选择 公 钥 (加 密 密 钥 )e 二 5, 因 5d 三 1(mod 12) ,可 得 私 钥 d= 二 17。 

@ 加 密 

明文 M=18, 对 其 加 密 得 到 密 文 

C=18=9 (mod21) 


@ 传输 
将 密 文 C 发 送 到 接收 方 ,接收 方 收 到 密 文 C=9。 
@ 解密 
接收 方 可 对 密 文 进行 解密 ,得 到 明文 
M = 9" = 18 (mod 21) 
例 4-6 对 明文 “HI” 进 行 加 密 再 解密 。 
| 选 密 钥 
设 p=5,g 二 11, 则 n==55, @(n) 二 40。 
取 e 王 3( 公 钥 ), 则 可 得 私 钥 d=27 (mod 40)。 
@ 加 密 
设 明 文 编码 为 : 空格 二 00,A 二 01,B 二 02,…,Z 二 26, 则 明文 HI 二 0809 
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C = (08)’ = 512 = 17 (mod 55) 
C: = (09)? = 729 = 14 (mod 55) 
因为 Q=17, N= 二 14, 所 以 , “HI” 的 密 文 为 “QN”。 

@ 解密 

Mi = C= (17)” = 08 (mod 55) 
M: 一 Ce = (14)” = 09 (mod 55) 

因为 互 王 08 ,TI 一 09, 所 以 ,明文 为 “HI”。 

(3) RSA 算法 的 特点 及 应 用 

RSA 算法 具有 密 钥 管理 简单 (网 上 每 个 用 户 仅 保密 一 个 密 钥 , 且 不 需 密 钥 配 送 )、 便 于 
数字 签名 .可靠 性 较 高 (取决 于 分 解 大 素数 的 难 易 程度 ) 等 优点 ,但 也 具有 算法 复杂 加密 / 解 
密 速 度 慢 、 难 于 用 硬件 实现 等 缺点 。 因 此 , 公 钥 密码 体制 通常 被 用 来 加 密 关 键 性 的 、 核 心 的 、 
少量 的 机 密 信息 ,而 对 于 大 量 要 加 密 的 数据 通常 采用 对 称 密码 算法 。 

RSA 算法 的 安全 性 建立 在 难于 对 大 整数 提取 因子 的 基础 上 ,研究 表明 大 整数 因 式 分 解 
问题 是 一 个 极其 困难 的 问题 。 但 是 , 随 着 分 解 大 整数 方法 的 进步 及 完善 .计算 机 速度 的 提高 
以 及 计算 机 网 络 的 发 展 ,对 RSA 加 密 / 解 密 安全 保障 的 大 整数 要 求 越 来 越 大 。 当 nn 足够 大 
时 (p 和 g 各 为 100 位 时 ,n 为 200 位 ), 对 其 进行 分 解 就 很 困难 了 。 可 以 说 ,RSA 的 保密 强 
度 等 价 于 分 解 n 的 难 易 程度 。 


@.3 数字 签名 技术 及 应 用 


4.3.1 数字 签名 的 基本 概念 


网 络 安全 系统 一 个 很 重要 的 方面 是 防止 非法 用 户 对 系统 的 主动 攻击 ,如 伪造 信息 、 算 改 
信息 等 。 这 种 安全 要 求 对 实际 网 络 系统 的 应 用 (如 电子 商务 ) 是 非常 重要 的 。 以 下 介绍 的 数 
字 签 名 和 验证 都 是 基于 数据 加 密 的 应 用 技术 。 

验证 (authentication, 也 叫 鉴别 ) 是 防止 主动 攻击 的 重要 技术 。 验 证 的 目的 就 是 确认 用 
户 身 份 的 合法 性 和 用 户 间 传 输 信 息 的 完整 性 与 真实 性 。 验 证 服务 主要 包括 报 文 验证 和 身份 
验证 两 方面 。 报 文 验证 和 身份 验证 可 采用 数据 加 密 技术 、 数 字 签名 技术 及 其 他 相关 技术 来 
实现 。 

报 文 验证 是 为 了 确保 数据 的 完整 性 和 真实 性 ,对 报 文 的 来 源 、 时 间 性 及 目的 地 进行 验 
证 。 报 文 验证 过 程 通常 涉及 加 密 和 密 钥 交 换 。 加 密 可 使 用 对 称 密 钥 体 制 、 非 对 称 密 钥 体 制 
或 两 种 体制 的 混合 方式 进行 。 

身份 验证 就 是 验证 申请 进入 网 络 系统 者 是 否 是 合法 用 户 ,以 防止 非法 用 户 访问 系统 。 
身份 验证 的 方式 一 般 有 用 户口 令 验 证 ,摘要 算法 验证 ,基于 PKI( 公 钥 基 础 设施 ) 的 验证 等 。 


1. 身份 验证 


身份 验证 一 般 涉及 两 个 过 程 : 一 个 是 识别 ; 一 个 是 验证 。 
识别 是 指 要 明确 访问 者 是 谁 , 即 要 对 网 络 中 的 每 个 合法 用 户 都 有 识别 能 力 。 要 保证 识 
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别 的 有 效 性 ,必须 保证 代表 用 户 身份 的 识别 符 的 唯一 性 。 

验证 就 是 指 在 访问 者 声明 自己 的 身份 后 ,系统 要 对 他 所 申明 的 身份 进行 验证 ,以 防 
假冒 。 

识别 信息 一 般 是 非 秘密 的 ,如 用 户 信 用 卡 的 号 码 、 用 户 名 、 身 份 证 号 码 等 ; 而 验证 信息 
一 般 是 秘密 的 ,如 用 户 信用 卡 的 密码 。 

身份 验证 的 方法 有 口令 验证 个 人 持 证 验证 和 个 人 特征 验证 三 类 。 

(1) 口令 验证 法 最 简单 ,系统 开销 也 小 ,但 其 安全 性 最 差 。 

(2) 持 证 为 个 人 持 有 物 ,如 钥匙 、 磁 卡 、 智 能 卡 等 。 持 证 法 比 口令 法 安全 性 好 ,但 验证 系 
统 比较 复杂 。 磁 卡 常 和 PIN 一 起 使 用 。 

(3) 以 个 人 特征 进行 验证 时 ,需要 多 种 技术 为 验证 机 制 提供 支持 ,如 指纹 识别 .声音 识 
别 .血型 识别 .视网膜 识别 等 。 个 人 特征 方法 验证 的 安全 性 最 好 ,但 验证 系统 也 最 复杂 。 


2. 数字 签名 


数字 签名 (digital signature) 可 解决 手写 签名 中 的 签字 人 否认 签字 或 其 他 人 伪造 签字 等 
问题 。 因 此 ,被 广泛 用 于 银行 的 信用 卡 系统 .电子 商务 系统 .电子 邮件 以 及 其 他 需要 验证 、 核 
对 信息 真 伪 的 系统 中 。 

手工 签名 是 模拟 的 , 因 人 而 异 ; 而 数字 签名 是 数字 式 的 (0、1 数字 串 ), 因 信息 而 异 。 

数字 签名 具有 以 下 功能 。 

(1) 接收 方 能 够 确认 发 方 的 签名 ,但 不 能 伪造 。 

(2) 发 送 方 发 出 签 过 名 的 信息 后 ,不 能 再 否认 。 

(3) 接收 方 对 收 到 的 签名 信息 也 不 能 否认 。 

(4) 一 旦 收发 双方 出 现 争执 ,仲裁 者 可 有 充足 的 证 据 进行 评判 。 

数字 签名 的 目的 是 使 报 文 的 接收 方 能 够 对 公正 的 第 三 方 证 明 其 报 文 内 容 是 真实 的 ,而 
且 是 由 指定 的 发 送 方 发 出 的 。 双 方 都 不 能 出 于 自己 的 利益 和 否认 或 修改 报 文 的 内 容 。 签 名 所 
保护 的 内 容 可 能 会 被 破坏 ,但 不 会 被 欺骗 。 

数字 签名 基本 形式 是 基于 特定 的 附加 信息 的 信息 摘要 。 数 字 签 名 保证 信息 完整 性 的 原 
理 是 : 将 要 传送 的 明文 通过 一 种 单 向 散 列 函数 运算 转换 成 信息 摘要 (不 同 的 明文 对 应 不 同 
的 摘要 ) ,信息 摘要 加 密 后 与 明文 一 起 传送 给 接收 方 ,接收 方 对 接收 的 明文 进行 计算 产生 新 
的 信息 摘要 ,再 将 其 与 发 送 方 发 来 的 信息 摘要 相 比 较 。 若 比较 结果 一 致 , 则 表示 明文 未 被 改 
动 ,信息 是 完整 的 ; 否则 ,表示 明文 被 自 改 ,信息 的 完整 性 受到 破坏 。 


3. 单 向 散 列 函数 


在 现 阶 段 ,一 般 存在 两 个 方向 的 加 密 方式 , 即 双向 加 密 和 单 向 加 密 。 

双向 加 密 是 加 密 算法 中 最 常用 的 , 它 将 可 理解 的 明文 数据 加 密 成 不 可 理解 的 密 文 数据 ; 
在 需要 的 时 候 , 再 使 用 一 定 的 算法 和 工具 将 这 些 密 文 解密 为 原来 的 明文 。 双 向 加 密 适 合 于 
保密 通信 ,比如 ,在 网 上 购物 的 时 候 , 需 要 向 网 站 提交 信用 卡 密码 。 人 们 当然 不 希望 自己 的 
数据 直接 在 网 上 明文 传送 ,因为 这 样 很 可 能 被 别 的 用 户 “ 偷 听 ”, 而 希望 自己 的 信用 卡 密码 通 
过 加 密 后 再 在 网 络 传送 。 这 样 ,网 站 接受 到 用 户 的 数据 后 ,通过 解密 算法 就 可 以 得 到 准确 的 
信用 卡 账号 。 
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单 向 加 密 是 只 对 数据 进行 加 密 而 不 进行 解密 , 即 在 加 密 后 ,不 能 对 加 密 后 的 数据 进行 解 
密 , 或 也 不 用 再 解密 。 单 向 加 密 算法 用 于 不 需要 对 信息 解密 或 读 取 的 场合 。 这 种 单 向 加 密 
算法 在 实际 中 的 典型 应 用 就 是 对 数据 库 中 的 用 户 信 息 进行 加 密 , 比 如 当 用 户 创 建 一 个 新 的 
账号 及 密码 时 , 先 将 这 些 信 息 经 过 单 向 加 密 后 再 保存 到 数据 库 中 。 再 比如 ,一 台 自 动 取款 机 
(ATM) 不 需要 解密 一 个 消费 者 的 个 人 标识 号 (PIN), 磁 条 卡 将 顾客 的 代码 单 向 地 加 密 成 一 
段 Hash 值 ,使 用 时 ATM 机 将 计算 用 户 PIN 的 Hash 值 并 产生 一 个 结果 ,然后 再 将 这 段 结 
果 与 用 户 卡 上 的 Hash 值 比较 。 使 用 这 种 方法 ,即使 对 于 那些 管理 和 维护 ATM 机 的 人 来 
说 ,PIN 也 是 安全 的 。 

Hash 函数 就 是 一 类 单 向 加 密 数 据 的 函数 ,也 叫 单 向 散 列 函数 。 目 前 已 经 有 许多 不 同 
的 Hash 函数 ,在 开放 式 网 络 系统 中 使 用 的 安全 性 好 的 Hash 函数 如 下 : 

(1) 基于 分 组 密码 算法 的 Hash 函数 。 

(2) 系列 Hash 函数 MD2( 信 息 摘要 算法 2)、MD4 和 MD5 等 ,这 些 函 数 都 产生 128 位 
的 输出 ,MD5 就 是 一 种 优秀 的 单 向 加 密 算法 。 

(3) 美国 政府 的 安全 Hash 标准 (SHA-1)。SHA-1 是 MD4 的 一 个 变形 ,产生 160 位 的 
输出 ,与 DSA( 数 字 签名 算法 ) 匹 配 使 用 。 


4.3.2 数字 签名 标准 


1. 数字 签名 与 加 密 


对 文件 进行 加 密 只 解决 传送 信息 的 保密 问题 ,而 防止 他 人 对 传输 的 文件 进行 破坏 ,以 及 
如 何 确 定 发 信人 的 身份 等 还 需要 数字 签名 技术 。 在 电子 商务 系统 中 ,其 安全 服务 都 要 用 到 
数字 签名 技术 。 因 此 数字 签名 技术 有 着 特别 重要 的 地 位 。 在 电子 商务 中 ,完善 的 数字 签名 
应 具备 签名 方 不 能 抵赖 \ 他 人 不 能 伪造 、 在 公证 人 面前 能 够 验证 真 伪 的 能 力 。 

一 个 由 公开 密 钥 密码 体制 实现 的 数字 签名 过 程 如 图 4.5 所 示 。 发 送 方 A 用 自己 的 私 
钥 Km 对 明文 信息 M 进行 操作 ,使 明文 打上 了 A 的 标记 得 到 签名 信息 S; 接收 方 BB 收 到 S 
信息 后 ,用 A 的 公 钥 Kn。 对 S 进行 操作 , 即 可 得 到 原 明 文 信息 M。 


M - S S 一 M 
A | 等 名 ee 验证 -| B 
Kag Kae 


4.5 公 钥 体制 实现 数字 签名 的 过 程 


数字 签名 的 特点 是 它 代 表 了 文件 的 特征 ,文件 如 果 发 生 改变 ,数字 签名 的 值 也 将 发 生变 
化 。 不 同 的 文件 将 得 到 不 同 的 数字 签名 。 一 个 最 简单 的 Hash 函数 是 把 文件 的 二 进 制 码 相 
累加 , 取 最 后 的 若干 位 。Hash 函数 对 发 收 数据 的 双方 都 是 公开 的 。 

目前 的 数字 签名 大 多 是 建立 在 公开 密 钥 体制 基础 上 ,这 是 公开 密 钥 加 密 技 术 的 另 一 种 
重要 应 用 。 如 基于 RSA 的 公开 密 钥 加 密 标 准 PKCS、 数 字 签名 算法 DSA、PGP 加 密 软 
件 等 。 
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2. 数字 签名 算法 


目前 ,广泛 应 用 的 数字 签名 算法 主要 有 三 种 : RSA 签名 .DSS( 数 字 签 名 系统 )/DSA( 数 
字 签 名 算法 ) 签 名 和 Hash 签名 。 这 三 种 算法 可 单独 使 用 ,也 可 结合 在 一 起 使 用 。 

(1) RSA 算法 签名 

用 RSA 或 其 他 公开 密 钥 密码 算法 的 最 大 方便 是 没有 密 钥 分 配 问题 (网 络 越 复杂 、 网 络 
用 户 越 多 ,其 优点 越 明 显 )。 实 际 上 RSA 算法 中 的 数字 签名 就 是 通过 一 个 Hash 函数 来 实 
现 的 。 

采用 RSA 签名 时 ,将 消息 输入 到 一 个 Hash 函数 以 产生 一 个 固定 长 度 的 安全 Hash 值 ， 
再 用 发 方 的 私 钥 加 密 Hash 值 就 形成 了 对 消息 的 签名 。 消 息 及 其 签名 被 一 起 发 给 收 方 , 收 
方 得 到 消息 后 再 产生 出 消息 的 Hash 值 , 上 且 使 用 发 方 的 公 钥 对 收 到 的 签名 解密 。 这 样 收 方 
就 得 了 两 个 Hash 值 ,如果 这 两 个 Hash 值 是 一 样 的 , 则 认为 收 到 的 签名 是 有 效 的 。 

(2) DSS/DSA 签名 

DSS/DSA 签名 是 由 美国 国家 标准 化 研究 院 和 国家 安全 局 共同 开发 的 。 由 于 它 是 由 美 
国政 府 颁 布 实施 的 ,美国 政府 出 于 保护 国家 利益 的 目的 不 提倡 使 用 任何 削弱 政府 的 有 窃听 
能 力 的 加 密 软件 ,因此 ,DSSV/DSA 主要 用 于 与 美国 政府 做 生意 的 公司 ,其 他 公司 则 较 少 
使 用 。 

DSS/DSA 的 设计 思想 : 签名 者 的 计算 能 力 较 低 且 计算 时 间 要 短 ,而 验证 者 计算 能 力 较 
强 。DSA 是 在 EIGamal 和 Schnorr 两 个 签名 方案 基础 上 设计 的 ,其 安全 性 基于 求 离散 对 数 
的 困难 性 。 

DSA 是 基于 整数 有 限 域 离散 对 数 难题 的 ,其 安全 性 与 RSA 相 比 差不多 。DSA 的 一 个 
重要 特点 是 两 个 素数 公开 ,这 样 , 当 使 用 别人 的 p 和 g 时 ,即使 不 知道 私 钥 , 也 能 确认 它们 是 
随机 产生 的 ,还 是 做 了 手脚 。RSA 算法 却 做 不 到 。 

(3) Hash 数字 签名 

Hash 签名 是 最 主要 的 数字 签名 方法 ,也 称 之 为 数字 摘要 法 或 数字 指纹 法 。 著 名 的 数 
字 摘 要 加 密 方法 MD5 由 RonRivest 所 设计 ,该 编码 算法 采用 单 向 Hash 函数 将 需 加 密 的 明 
文 “ 摘 要 ?成 一 串 128 位 的 密 文 。 这 样 ,该 摘要 就 可 成 为 验证 明文 是 否 * 真 实 ?的 依据 。 

Hash 函数 可 产生 信息 摘要 ,其 计算 过 程 为 : 输入 一 个 长 度 不 固定 的 字符 串 , 返 回 一 串 
固定 长 度 的 字符 串 , 即 摘要 ,又 称 Hash 值 。 信 息 摘要 简要 地 描述 了 一 份 较 长 的 信息 或 文 
件 , 它 可 以 被 看 做 一 份 长 文件 的 “数字 指纹 ”。 信 息 摘要 用 于 创建 数字 签名 ,对 于 特定 的 文件 
而 言 ,信息 摘要 是 唯一 的 。 信 息 摘要 可 以 被 公开 , 它 不 会 透露 相应 文件 的 任何 内 容 。 

Hash 函数 主要 可 以 解决 两 个 问题 : 一 是 在 某 一 特定 的 时 间 内 ,无 法 查找 经 Hash 操作 
后 生成 特定 Hash 值 的 原 报 文 ; 二 是 无 法 查找 两 个 经 Hash 操作 后 生成 相同 Hash 值 的 不 同 
报 文 。 这 样 ,在 数字 签名 中 就 可 以 解决 签名 验证 ,用 户 身份 验证 和 不 可 抵赖 性 的 问题 。 

Hash 函数 除了 可 在 数字 签名 中 用 来 提高 数字 签名 的 有 效 性 和 分 离 保 密 与 签名 外 ,还 
可 用 于 验证 ,数据 完整 性 测试 和 加 密 。 


3. 数字 签名 过 程 
数字 签名 的 主要 过 程 是 : 报 文 的 发 送 方 利 用 单 向 散 列 函数 从 报 文 文本 中 生成 一 个 128 
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位 的 散 列 值 (或 信息 摘要 )。 发 送 方 用 自己 的 私 钥 对 这 个 散 列 值 进行 加 密 来 形成 发 送 方 的 数 
字 签 名 。 然 后 ,该 数字 签名 将 作为 报 文 的 附件 和 报 文 一 起 发 送 给 报 文 的 接收 方 。 接 收 方 首 
先 从 接收 到 的 原始 报 文中 计算 出 128 位 的 散 列 值 (或 信息 摘要 ) ,然后 再 用 发 送 方 的 公开 密 
钥 对 报 文 附加 的 数字 签名 进行 解密 得 到 原 散 列 值 。 如 果 这 两 个 散 列 值 相 同 , 则 接收 方 就 能 
确认 该 数字 签名 是 发 送 方 的 。 通 过 数字 签名 能 够 实现 对 原始 报 文 的 鉴别 。 

采用 数字 签名 能 确认 以 下 两 点 : 第 一 ,信息 是 由 签名 者 发 送 的 ; 第 二 ,信息 自 签发 到 收 
到 为 止 未 曾 做 过 任何 修改 。 这 样 数字 签名 就 可 用 来 防止 电子 信息 因 易 被 修改 而 有 人 作伪 ， 
或 冒 用 别人 名 义 发 送信 息 ,或 发 出 ( 收 到 ) 信 件 后 又 加 以 否认 等 情况 发 生 。 

只 有 加 入 数字 签名 及 验证 才能 真正 实现 信息 在 公开 网 络 上 的 安全 传输 。 加 入 数字 签名 
和 验证 的 文件 传输 过 程 如 下 : 

(1) 发 送 方 首先 用 Hash 函数 从 原 报 文中 得 到 数字 签名 ,然后 采用 公开 密 钥 算 法 用 自 
己 的 私 钥 对 数字 签名 进行 加 密 , 并 把 加 密 后 的 数字 签名 附加 在 要 发 送 的 报 文 后 面 。 

(2) 发 送 方 选择 一 个 会 话 密 钥 对 原 报 文 进行 加 密 , 并 把 加 密 后 的 文件 通过 网 络 传输 到 
接收 方 。 

(3) 发 送 方 用 接收 方 的 公开 密 钥 对 会 话 密 钥 进行 加 密 , 并 通过 网 络 把 加 密 后 的 会 话 密 
钥 传输 到 接收 方 。 

(4) 接收 方 使 用 自己 的 私 钥 对 会 话 密 钥 信息 进行 解密 ,得 到 会 话 密 钥 的 明文 。 

(5) 接收 方 用 会 话 密 钥 对 加 密 了 的 报 文 进行 解密 ,得 到 原 报 文 。 

(6) 接收 方 用 发 送 方 的 公开 密 钥 对 加 密 的 数字 签名 进行 解密 ,得 到 数字 签名 的 明文 。 

(7) 接收 方 用 得 到 的 原 报 文 和 Hash 函数 重新 计算 数字 签名 ,并 与 解密 后 的 数字 签名 
进行 对 比 。 如 果 两 者 相同 ,说明 文件 在 传输 过 程 中 没有 被 破坏 ,信息 完整 。 

如 果 第 三 方 冒充 发 送 方 发 出 了 一 个 文件 ,因为 接收 方 在 对 数字 签名 进行 解密 时 使 用 的 
是 发 送 方 的 公开 密 钥 , 只 要 第 三 方 不 知道 发 送 方 的 私 钥 ,解密 出 来 的 数字 签名 和 经 过 计算 的 
数字 签名 必然 是 不 同 的 。 这 就 提供 了 一 个 安全 的 确认 发 送 方 身份 的 方法 。 


人 4 数据 加 密 技 术 应 用 实例 


本 节 介 绍 几 种 加 密 技术 的 应 用 实例 ,包括 PGP 软件 .CA 认证 及 数字 证 书 、 简 单 文档 的 
加 密 应 用 ,有 关 EFS、Kerberos 和 IPSec 的 加 密 应 用 在 第 5 章 中 介绍 。 


4.4.1 ”加密 软件 PGP 及 其 应 用 


1. PGP 简介 


PGP(pretty good privacy) 是 一 个 公 钥 加 密 程 序 。 在 传统 的 加 密 方法 中 ,通常 一 个 密 钥 
既 能 加 密 也 能 解密 。 那 么 在 开始 传输 数据 前 ,如 何 通过 一 个 不 安全 的 信道 传输 密 钥 呢 ? 使 
用 PGP 公 钥 加 密 法 ,用 户 可 以 广泛 传播 公 钥 ,同时 安全 地 保存 好 私 钥 。 由 于 只 有 你 可 拥有 
私 钥 , 所 以 ,任何 人 都 可 以 用 你 的 公 钥 加 密 写 给 你 的 信息 ,而 不 用 担心 信息 被 窃听 。 

使 用 PGP 的 另 一 个 好 处 是 可 以 在 文档 中 使 用 数字 签名 。 一 个 使 用 私 钥 加 密 的 文件 只 
能 用 公 钥 解密 。 这 样 ,如 果 人 们 阅读 用 你 的 公 钥 解密 后 的 文件 ,他 们 就 会 确定 只 有 你 才能 写 
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出 这 个 文件 。 

PGP 把 RSA 公 钥 体系 的 密 钥 管理 方便 和 传统 加 密 体系 的 高 速度 结合 起 来 ,并 且 在 数 
字 签 名 和 密 钥 认证 管理 机 制 上 有 巧妙 的 设计 。 虽 然 PGP 主要 是 基于 公 钥 加 密 体系 的 ,但 它 
不 是 一 种 完全 的 公 钥 加 密 体 系 ,而 是 一 种 混合 加 密 算 法 。 它 是 由 一 个 对 称 加 密 算法 
(IDEA) 一 个 非 对 称 加 密 算法 (RSA) 、 一 个 单 向 散 列 算法 (MD5) 和 一 个 随机 数 产生 器 组 成 
的 ,每 种 算法 都 是 PGP 不 可 分 割 的 组 成 部 分 。PGP 之 所 以 得 到 流行 ,得 到 大 家 的 认可 ,最 
主要 是 它 集 中 了 几 种 加 密 算法 的 优点 ,使 它们 彼此 得 到 互补 。PGP 实现 了 目前 大 部 分 流行 
的 加 密 和 认证 算法 ,如 DES、IDEA、RSA 及 MD5 SHA 等 算法 。 

PGP 软件 兼 有 加 密 和 签名 两 种 功能 。 它 不 但 可 以 对 用 户 的 邮件 保密 ,以 防止 非 授 权 者 
阅读 ,还 能 对 邮件 进行 数字 签名 ,使 收 信 人 确信 邮件 未 被 第 三 者 算 改 。 在 PGP 中 ,主要 使 用 
IDEA 算法 对 数据 进行 加 密 ( 因 为 它 速度 快 ,安全 性 好 ); 使 用 RSA 算法 对 IDEA 的 密 钥 进 
行 加 密 (因为 RSA 公 钥 算法 的 密 钥 管理 方便 ) 。 这 样 ,两 类 体制 的 算法 结合 在 一 起 实现 加 密 
功能 ,突出 了 各 自 的 优点 。PGP 还 使 用 MD5 作为 散 列 函数 ,对 数据 的 完整 性 进行 保护 ,并 
与 加 密 算法 结合 ,提供 数字 签名 功能 。PGP 的 加 密 功 能 和 签名 功能 可 以 单独 使 用 ,也 可 以 
同时 使 用 。 

PGP 还 可 以 只 签名 而 不 加 密 , 这 适用 于 用 户 发 布 公开 的 情况 。 用 户 为 了 证 实 自己 的 身 
份 ,在 发 送信 件 时 用 自己 的 私 钥 签 名 。 这 样 就 可 以 让 收 信人 能 确认 发 信人 的 身份 ,也 可 以 防 
止 发 信人 进行 抵赖 ,这 一 点 在 商业 领域 有 很 大 的 应 用 前 途 。 

对 PGP 来 说 , 公 钥 本 来 就 是 公开 的 ,不 存在 防 偷盗 问题 ,但 公 钥 在 发 布 中 仍然 存在 被 自 
改 和 冒充 的 问题 。PGP 对 该 问题 采用 CA( 权 威 机 构 ) 认 证 方法 解决 ; 而 私 钥 相对 于 公 钥 而 
言 不 存在 被 自 改 的 问题 ,但 却 存在 泄露 的 问题 。 对 此 ,PGP 的 解决 办 法 是 让 用 户 为 随机 生 
成 的 RSA 私 钥 指 定 一 个 口令 ,只 有 通过 增加 口令 才能 将 私 钥 释放 出 来 使 用 ,保护 私 钥 安 全 
的 问题 实际 上 是 对 用 户口 令 的 保密 。 


2. PGP 的 应 用 实例 


PGP 可 以 用 来 对 文件 或 邮件 进行 加 密 , 以 防止 非 授 权 者 阅读 。 它 还 能 对 用 户 的 文件 或 
邮件 加 上 数字 签名 ,从 而 可 以 让 收 件 人 能 确认 发 信人 的 身份 ,也 可 以 防止 发 信人 的 抵赖 
行为 。 

(1) PGP 软件 的 下 载 与 安装 

在 网 上 很 多 站 点 都 可 以 自由 下 载 到 免费 版 本 的 PGP 软件 ,比较 权威 的 地 址 是 http:// 
www. pgpi. org。 现 在 网 上 免费 的 PGP 新 版 本 也 很 多 ,但 有 些 还 不 太 成 熟 和 稳定 。 这 里 仍 
以 较 权威 和 稳定 的 PGP 8. 0. 2 全 免费 版 本 为 例 介 绍 其 应 用 。 

从 http://www. pgpi. org 上 下 载 PGP 8. 0.2, 其 容量 约 为 10MB。 下 载 后 单 击 安装 文 
件 开始 安装 。 弹 出 Welcome 界面 文档 说 明和 ReadMe 等 窗口 。 随 后 可 按 提示 输入 用 户 名 
和 机 构 名 ,选择 安装 路 径 。 如 果 你 是 第 一 次 使 用 PGP, 则 在 如 图 4. 6 所 示 对 话 框 中 选择 
“No,Tm a New User” 选 项 。 接 下 来 一 路 确认 ( 单 击 Yes 或 Next 按钮 ) 即 可 。 安 装 完毕 后 
按 要求 重 新 启动 系统 ,如 图 4.7 所 示 ( 系 统 会 自动 缩 为 托盘 上 的 一 个 小 锁 头 图 标 ) 。 

(2) 选取 密 钥 

PGP 使 用 IDEA 算法 加 密 数 据 ,IDEA 的 密 钥 使 用 RSA 或 DH 算法 进行 加 密 。 
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PEP 8T x 


User Type 
Please lal us if you have existing PGP Keyrings you'd ke to use. 


Do you aheady have PGP keyings you would ke to use? 


© Yes.| akeady have keyings 


<Back Ne > Cancel 
图 4.6 用 户 类 型 提示 


PGP 8.1 install complete. 


PGP 8.1 has been successfuly installed. Before you can use 
the program, you must restart your computer 


7 Ves T wer to tevin my compier now 


am 
图 4.7 安装 完毕 要 求 重启 机 器 


重启 后 进入 密 钥 选取 阶段 。 按 提示 给 出 用 户 全 名 和 邮件 地 址 后 ,选取 密 钥 并 再 次 确认 
该 密 钥 , 如 图 4. 8 所 示 , 密 钥 选 取 后 单 击 “ 下 一 步 按 钮 。 这 次 选取 的 是 对 称 密 钥 ( 即 加 密 数 


据 用 的 IDEA 密 钥 ) 。 


RSA 和 DH 都 是 公 钥 密码 系统 算法 ,它们 的 密 钥 都 有 两 个 , 即 公 钥 和 私 钥 对 。 下 面 来 


选取 公 钥 和 私 钥 。 


PGP 软件 包 中 有 Documentation、PGPdisk、PGPkeys 和 PGPmail 四 项 。 单 击 *“ 开 始 ” 一 
“程序 ”>PGP 命令 找到 PGP 软件 包 , 从 中 选择 PGPkeys 选项 ,可 看 到 如 图 4.9 所 示 窗 
口 。 选 择 该 窗口 工具 栏 最 左 端的 选择 密 钥 对 的 工具 项 ,可 得 到 相应 的 PGP 加 密 和 签名 用 
的 公 钥 (pubring) 与 私 钥 (secring) ,如 图 4. 10 所 示 。 选 取 公 钥 和 私 钥 对 后 ,用 户 要 小 心 保 
存 自己 的 私 钥 ,把 公 钥 通过 你 的 朋友 签名 发 送 给 其 他 朋友 ,或 发 到 网 上 公共 的 PGP 管理 


服务 器 。 
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PGP Key Generation Yizard 


Passphrase Assignment 
Your private key wil be protected by a passphrase. ltisimportant that you keep this 
passphrase sectet and do not wite i down. 


Your passphrase should be at least 8 characters long and should contain 
norralphabetic characters. 


回 Hide Typng 


[EE=EOJEEEW Ca 
图 4.8 选取 密 钥 并 确认 


了 PEPKgsys 
1p 


Eile Edit Ver Keys Server DGr oups De 

中 量 罗 园 忆 之 疡 刀 叫 园 

Keys Vi. Trost Size Description 
rlin 人 sliwesjte eta ea》 aaa 2048/1024 DN/DSS key pair 


日 回 ysliu yslivasjtu edu cn> © Vser ID 
内 min 人 slinasjta aaa cn) TSS exportable si 


1 key(s) selected 


图 4.9 PGPkeys 窗口 


断 T 忆 我 的 文档 \PCF 
文件 Z) 编辑 下 ) 查看 WW) 收 疗 人 0) 工具 0) 帮助 0 EE 


@FE -日 -让 甩 所 XHx| 访 全 X9 加 - 
地 址 (0) | 局 7: \ 我 的 文档 \PGP 


文 # 严 EE 大 小 类 型 
加 Wy Pictwes 罗 | 国 pubrine 2 KB POP Public Keyring 2009-10-: 
Bl mFiles 司 :eering 2 KB POP Private Key. 2009-10-30 18:53 
田 加 mw Videos 
[lrcr | [=| 
国 忆 The MPlayer 
国生 Thunder 
国 后 VserDats 站 
"| er I 
2 个 对 象 柯 用 磁盘 空间 : 113 WB) 2.44 三 最 我 的 电脑 


图 4. 10 ” 公 钥 和 私 钥 显示 


(3) 加 密 
单 击 “ 开 始 ”一 “程序 ”一 PGP 命令 找到 PGP 软件 包 , 从 中 选 
择 PGPmail, 可 得 到 如 图 4. 11 所 示 的 工具 箱 。 该 工具 箱 有 7 个 按 4.11 工具 箱 
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钮 图 标 ,从 左 到 右 依次 为 PGPkeys( 选 密 钥 )、Encrypt( 加 密 )、Sign( 签 名 )、Encrypt & Sign 
(加 密 并 签名 ) .Decrypt/ Verify( 解 密 并 验证 )、Wipe( 文 件 销毁 ) 和 Freespace Wipe( 空 间 擦 除 )。 

选择 工具 箱 中 的 Encrypt 可 进行 文件 加 密 。 首 先 在 单 击 Encrypt 工具 后 出 现 的 对 话 框 
中 选择 要 被 加 密 的 文件 ,如 图 4. 12 所 示 。 单 击 * 打 开 ” 按 钮 后 弹出 如 图 4. 13 所 示 对 话 框 。 
在 对 话 框 中 选择 要 加 密 文件 的 阅读 者 (中 间 栏 带 有 邮件 地 址 的 部 分 可 以 是 别人 的 ,也 可 以 是 
自己 的 )。 该 对 话 框 中 的 选项 Text Output、 Input Is Text、Wipe Original 和 Conventional 
Encryption 分 别 表示 “输出 文本 形式 的 加 密 文件 ”“ 输 入 的 是 文本 文件 ”“ 彻 底 销毁 原始 文 
件 ” 和 “用 传统 密码 体制 加 密 ”( 不 用 公 钥 系统 ,只 能 留 着 自己 看 )。 选 中 Text Output, 单 击 
OK 按钮 即 可 得 到 已 加 密 的 文件 , 密 文 并 以 文本 形式 存储 ,如 图 4. 14 所 示 。 


SETECE PITe(S) TO Encrypt 


坦 找 范围 0): 已 孝 间  ” 关 全 谨 巴 国 - 
ER 国 os 好 计算 机 专业 培 闫 计划 
ET 吨 ] on8 令 信 息 工程 专业 培养 计划 。 
I 呈 ] oe 年 2 月 教学 任务 


7 加 新 建 由 croseft Excel 工作 表 
[ 国 06 倒 园 氏 专业 ( 英语 方向 教学 计划 
[Im FY 
文件 名 如 : [09 绝 国 办 # 业 (经 入 )18 状 H 划 | CE 
文件 类 型 @): | 人 1 Files (+.+) 加 [mm| 


Cipboatd 


图 4.12 选择 加 密 的 文件 


Recipients Ya. Size 
Elysliu Cslivasjtu edu cny 蚀 ” 2048/1024 


Dext ound 

DD Input Ts Text 

Dive Original 

Dconventional Encryption 
Dsalf Decryting Archive 


4.13 选择 加 密 文件 阅读 者 


(4) 签名 

选择 工具 箱 中 的 Sign 可 进行 文件 签名 。 首 先 在 单 击 Sign 工具 后 出 现 的 对 话 框 中 选择 
要 被 签名 的 文件 ,如 图 4. 12 所 示 。 然 后 单 击 “ 打 开 ” 按 钮 后 弹出 要 求 输入 密码 的 窗口 。 输 入 密 
码 后 单 击 OK 按钮 , 即 可 得 到 签 过 名 的 文件 , 签 过 名 的 文件 被 加 上 较 形象 的 标记 ,如 图 4. 14 所 
示 。 签 名 后 会 出 现 一 个 记录 窗口 ,该 记录 包括 用 户 名 、 签 名 者 、 密 钥 ID 号 .有 效 ( 有 法 律 效 
力 ) 状 态 和 日 期 。 
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和 和 学 和 到 
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@ 银 -日 上庄 P 扩 [ 巴 xHK| 库 本义 回 | 回 - 


名 称 和 
局 % 


日 局 教学 计划 [= 
已 ]06 鹿 国 旬 专 业 ( 经 营 ) 培养 计划 193 WB 
名 0 名 j06 级 国贸 考 业 ( 经 管 ) 培养 计划 . doc 34 到 


名 m 团 06 级 国 册 专 业 ( 经 管 ) 培养 计划 . doc 1 到 


名 mm 各 08 级 国贸 专业 ( 经 管 ) 培养 计划 doc_ asc 2 
田 加 启 丫 到 国 多 专业 C HT oc se | 1 
局 数字 电子 技术 (这 可 吓 o8 俩 国贸 专业 ( 英语 方向 ) 教学 计划 162 到 
后 数字 未 辑 06 级 计算 机 专业 培养 计划 。 196 三 耻 crosoi 
困 局 新 尘 文 件 夹 图 | 辆 06 角 信息 工程 专业 培养 计划 。 194 了 8B 骨 crose 
区 [Eu 四 国 一 
14 个 对 象 呵 用 磁盘 空间 : 332 !B) 1.60 号 最 我 的 电脑 


图 4.14 加 密 和 签名 的 文件 显示 
此 后 的 加 密 并 签名 、 解 密 并 验证 、 文 件 销毁 和 存储 空间 控 除 等 操作 由 读者 自己 完成 。 


4.4.2 CA 认证 与 数字 证 书 应 用 
1. CA 认证 与 证 书 服务 


在 进入 网 络 化 时 代 后 ,许多 部 门 也 许 会 经 常 遇 到 这 样 的 困惑 : 在 内 部 进行 网 络 管理 时 
怎样 在 网 上 确认 员工 的 身份 ,网 上 交易 时 对 方 发 出 的 信息 是 否 真 实 可 信 , 网 上 纳税 时 怎样 有 
效 地 表明 企业 的 身份 等 。 由 此 可 见 ,“ 信 任 ” 是 每 个 网 上 交易 (交换 ) 实 体 (网 络 用 户 ) 进 行 各 
种 网 上 行为 的 基础 。 构 架 一 个 安全 可 信 的 网 络 环境 是 各 种 网 上 操作 顺利 开展 的 有 力 保障 。 
在 常规 的 交易 业务 中 ,交易 双方 现场 交易 ,可 以 很 容易 确认 买卖 双方 的 身份 。 但 在 网 上 进行 
的 电子 商务 交易 ,交易 双方 并 不 在 现场 ,买方 和 卖方 都 希望 在 Internet 上 进行 的 一 切 交 易 运 
作 都 是 真实 可 靠 的 。 保 证 交易 双方 身份 的 真实 性 和 交易 的 不 可 抵赖 性 ,已 经 成 为 人 们 迫切 
关心 的 问题 。 因 此 ,必须 保证 网 上 的 交易 过 程 是 十 分 可 靠 的 ,保证 交易 中 能 够 实现 身份 认 
证 ,安全 传输 .不 可 否认 和 数据 一 致 性 。CA 认证 就 是 网 络 的 一 种 安全 控制 技术 , 它 可 以 提 
供 网 上 交易 所 需 的 “信任 ”。CA 认证 的 出 现 和 数字 证 书 的 使 用 ,使 得 开放 的 网 络 更 加 安全 。 

(1) CA 认证 中 心 

Q@ CA 认证 

CA 的 英文 全 称 是 Certificate Authority, 即 证 书 授权 中 心 ,也 叫 认 证 中 心 。 在 网 上 电子 
交易 中 ,商户 需要 确认 持 卡 人 是 否 是 信用 卡 或 借 记 卡 的 合法 持 有 者 ,同时 持 卡 人 也 要 能 够 鉴 
别 商户 是 否 合法 商户 ,是 否 被 授权 接受 某 种 品牌 的 信用 卡 或 借 记 卡 。 为 处 理 这 些 问 题 ,必须 
有 一 个 大 家 都 信赖 的 机 构 来 发 放 一 种 证 书 。 这 种 证 书 就 是 数字 证 书 , 它 是 参与 网 上 交易 活 
动 的 各 方 (如 持 卡 人 、 商 家 、 支 付 网 关 ) 身 份 的 证 明 。 每 次 交易 时 ,都 要 通过 数字 证 书 对 各 方 
的 身份 进行 验证 。CA 认证 中 心 作为 权威 的 、 可 信赖 的 、 公 正 的 第 三 方 ,是 发 放 、 管 理 \ 废 除 
数字 证 书 的 机 构 。 

@ X. 509 标准 

X. 509 是 国际 电信 联盟 (ITU-T) 建 议 作为 X. 500 目录 检索 的 一 部 分 ,提供 安全 目录 检 
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索 服务 ,是 一 种 行业 标准 或 行业 解决 方案 。 在 X. 509 方案 中 ,默认 的 加 密 体制 是 公 钥 密码 
体制 。 为 进行 身份 认证 ,X. 509 标准 及 公 钥 密码 系统 提供 了 数字 签名 方案 。 用 户 可 生成 一 
段 信息 及 其 摘要 (信息 “指纹 ”) ,再 用 专用 密 钥 对 摘要 加 密 以 形成 签名 ,接收 者 用 发 送 者 的 公 
钥 对 签名 解密 ,并 将 其 与 收 到 的 信息 “指纹 ”进行 比较 ,以 确定 其 真实 性 。 

此 问题 的 解决 方案 即 X. 509 标准 与 公 钥 证 书 。 本 质 上 ,数字 证 书 由 公 钥 和 密 钥 拥 有 者 
的 用 户 标识 组 成 ,整个 字 块 由 可 信赖 的 第 三 方 签名 。 

CA 认证 中 心 颁发 的 数字 证 书 均 遵循 X. 509 v3 标准 。 基 于 X. 509 证 书 的 认证 技术 适 
用 于 开放 式 网 络 环境 下 的 身份 认证 。 该 技术 已 被 广泛 接受 ,许多 网 络 安全 程序 都 可 以 使 用 
X. 509 证 书 。X. 509 是 一 种 非常 通用 的 证 书 格式 。 所 有 的 证 书 都 符合 ITU-T X. 509 国际 
标准 ,因此 ,为 一 种 应 用 创建 的 证 书 可 以 用 于 任何 其 他 符合 X. 509 标准 的 应 用 。 在 一 份 证 
书 中 ,必须 证 明 公 钥 及 其 所 有 者 的 姓名 是 一 致 的 。 对 X. 509 证 书 来 说 ,认证 者 总 是 CA 或 
由 CA 指定 的 人 。 一 份 X. 509 证 书 是 一 些 标准 字段 的 集合 ,这 些 字 段 包含 有 关 用 户 或 设备 
及 其 相应 公 钥 的 信息 。X. 509 证 书包 含 的 内 容 有 X. 509 版 本 号 .证书 持 有 人 的 公 钥 .证书 
的 序列 号 主题 信息 ,证书 的 有 效 期 .认证 机 构 ( 证 书 发 布 者 ) 发 布 者 的 数字 签名 和 签名 算法 

@ CA 的 功能 

CA 认证 中 心 所 发 放 的 数字 证 书 就 是 网 络 中 标志 通信 各 方 身份 信息 的 电子 文件 , 它 提 
供 了 一 种 在 Internet 上 验证 用 户 身份 的 方式 。 数 字 证 书 的 作用 类 似 于 司机 的 驾驶 执照 或 日 
常生 活 中 的 身份 证 。 人 们 可 以 在 交往 (交易 ) 中 使 用 数字 证 书 来 识别 对 方 的 身份 。 

CA 认证 中 心 就 是 一 个 负责 发 放 和 管理 数字 证 书 的 权威 机 构 。CA 的 作用 是 检查 证 书 
持 有 者 身份 的 合法 性 ,并 签发 证 书 (在 证 书 上 签字 ) ,以 防 证 书 被 伪造 或 算 改 ,以 及 对 证 书 和 
密 钥 进行 管理 。 如 果 说 数字 证 书 就 相当 于 用 户 在 网 上 的 个 人 电子 身份 证 ,同日 常生 活 中 使 
用 的 个 人 身份 证 一 样 , 则 CA 就 相当 于 网 上 公安 局 ,专门 发 放 、 管 理 和 验证 身份 证 。 

CA 认证 中 心 的 主要 功能 有 颁发 证 书 、 更 新 证 书 、 查 询 证 书 、 上 废除 证 书 和 证 书 归 档 等 。 

(2) 数字 证 书 

数字 证 书 是 一 个 经 CA 认证 中 心 数字 签名 的 、 包 含 公 钥 拥 有 者 信息 和 公 钥 的 文件 。 最 
简单 的 证 书包 含 一 个 公 钥 、 名 称 以 及 CA 中 心 的 数字 签名 。 一 般 情况 下 证 书 中 还 包括 密 钥 
的 有 效 时 间 发 证 机 关 的 名 称 和 该 证 书 的 序列 号 等 信息 。 

QO 数字 证 书 的 功能 

数字 证 书 认证 是 基于 国际 PKI( 公 开 密 钥 基 础 设施 ) 标 准 的 网 上 身份 认证 系统 进行 的 。 
数字 证 书 以 数字 签名 的 方式 通过 第 三 方 权威 认证 有 效 地 进行 网 上 身份 认证 ,帮助 网 上 各 个 
交易 实体 识别 对 方 身 份 和 表明 自己 的 身份 ,具有 真实 性 和 防 抵赖 功能 。 与 物理 身份 证 不 同 
的 是 ,数字 证 书 还 具有 安全 ,保密 、 防 自 改 的 特性 ,可 对 网 上 传输 的 信息 进行 有 效 的 保护 和 安 
全 传输 。 例 如 , 随 着 电子 政务 的 发 展 ,网 上 报税 必 将 成 为 许多 企业 进行 日 常 税务 申报 的 常用 
方式 。 网 上 报税 即 由 税务 部 门 建立 专门 的 申报 网 站 ,纳税 户 通 过 Internet 访问 税务 部 门 网 
站 上 的 网 上 报税 系统 ,正确 填写 电子 化 申报 表 后 ,传送 申报 数据 至 税务 部 门 服务 器 ,税务 部 
门 对 这 些 数据 进行 处 理 、 储 存 , 并 将 处 理 结 果 反馈 给 纳税 人 。 在 此 过 程 中 ,纳税 人 通过 使 用 
标识 其 身份 的 数字 证 书 登 录 网 上 纳税 服务 系统 ,就 可 以 安全 地 进行 网 上 税务 申报 。 所 有 诸 
如 企业 账号 ,纳税 额 等 申报 信息 都 经 过 高 强度 加 密 , 保 证 信息 可 以 安全 无 误 地 在 纳税 人 与 税 
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务 系统 中 传输 ,同时 也 可 以 表明 该 企业 的 有 效 身 份 并 证 明 其 纳税 实事 。 即 使 有 人 从 中 非法 
截获 有 关 信 息 ,他 也 无 法 知道 真实 内 容 。 

以 加 密 技 术 为 核心 的 数字 证 书 可 以 对 网 络 上 传输 的 信息 进行 加 密 和 解密 、 签 名 和 验证 ， 
确保 网 上 传递 信息 的 保密 性 、 完 整 性 ,以 及 交易 实体 身份 的 真实 性 和 签名 信息 的 不 可 否认 
性 ,从 而 保障 网 络 应 用 的 安全 性 。 数 字 证 书 主要 有 以 下 4 大 功能 。 

。 保 证 信息 的 保密 性 。 交 易 中 的 商务 信息 均 有 保密 的 要 求 , 如 信用 卡 的 账号 和 用 户 名 

被 人 知悉 ,就 可 能 被 次 用 ; 订货 和 付款 的 信息 被 竞争 对 手 获悉 ,就 可 能 丧失 商机 。 
而 数字 证 书 可 保证 电子 商务 中 传输 信息 的 保密 性 。 

。 保证 信息 的 完整 性 。 交 易 中 数 据 文件 要 保持 其 完整 性 ,不 可 被 修改 和 增删 。 数 字 证 
书 可 确保 电子 交易 文件 的 完整 性 ,以 保证 交易 的 严肃 性 和 公正 性 。 
保证 交易 者 身份 的 真实 性 。 网 上 交易 的 双方 大 多 素 昧 平生 ,相隔 千里 。 要 使 交易 成 
功 首先 要 能 确认 对 方 的 身份 。 对 于 为 客户 服务 的 银行 、 信 用 卡 公 司 和 销售 商家 ,为 
了 做 到 安全 保密 、 可 靠 地 开展 服务 活动 ,都 要 进行 身份 认证 的 工作 。 数 字 证 书 可 保 
证 网 上 交易 双方 身份 的 真实 性 ,银行 和 信用 卡 公司 可 以 通过 CA 认证 确认 身份 , 放 
心地 开展 网 上 业务 。 
保证 交易 的 不 可 否认 性 。 由 于 商情 的 千变万化 ,交易 一 旦 达成 是 不 可 否认 的 ,否则 
必然 会 损害 交易 中 一 方 的 利益 。 数 字 证 书 具有 可 防止 这 种 否认 (抵赖 ) 性 的 功能 。 

@ 数字 证 书 的 应 用 

数字 证 书 利用 一 对 互相 匹配 的 密 钥 进 行 加 密 和 解密 。 每 个 用 户 自己 设 定 一 个 特定 的 仅 
为 本 人 所 知 的 私 钥 ,用 它 进行 解密 和 签名 ; 同时 设 定 一 个 公 钥 并 公开 ,以 便 为 公众 所 共享 ， 
用 于 加 密 和 验证 签名 。 当 发 送 一 份 保密 文件 时 ,发 送 方 使 用 接收 方 的 公 钥 对 数据 加 密 , 而 接 
收 方 则 使 用 自己 的 私 钥 解 密 ,这 样 信息 就 只 有 合法 接收 方 能 够 解密 。 通 过 数字 的 手段 保证 
加 密 过 程 是 一 个 不 可 逆 过 程 , 即 只 有 用 私 钥 才能 解密 。 

数字 证 书 可 应 用 于 网 上 的 行政 管理 和 商务 活动 ,如 用 于 发 送 安全 电子 邮件 .访问 安全 站 
点 ,网 上 证 券 . 网 上 银行 .网 上 招 投标 、 网 上 签约 .网 上 办 公 、 网 上 缴费 、 网 上 纳税 等 网 上 安全 
电子 事务 处 理 和 安全 电子 交易 活动 。 其 应 用 范围 涉及 需要 身份 认证 及 数据 安全 的 各 个 行 
业 , 包 括 传 统 的 商业 、 制 造 业 流通 业 的 网 上 交易 ,以 及 公共 事业 、 金 融 服 务 业 、 工 商 、 税 务 、 海 
关 、 教 育 科 研 单位 ,保险 、 医 疗 等 网 上 作业 系统 。 


2. 数字 证 书 应 用 实例 


目前 ,数字 证 书 被 广泛 应 用 于 网 上 银行 .网 上 交易 等 商务 活动 中 。 使 用 数字 证 书 还 可 以 
对 数据 和 电子 邮件 进行 加 密 和 签名 。 下 面 介绍 数字 证 书 申请 和 几 个 数字 证 书 的 应 用 实例 ， 
读者 从 中 可 以 更 好 地 了 解数 字 证 书 的 应 用 。 

(1) 数字 证 书 的 申请 

在 Outlook Express 中 可 以 通过 数字 签名 来 证 明 邮 件 发 送 者 的 身份 , 即 让 对 方 确信 该 
邮件 是 由 你 的 机 器 发 送 的 。Outlook Express 同时 提供 邮件 加 密 功能 ,可 使 邮件 只 有 合法 接 
收 者 才能 接收 并 阅读 ,但 前 提 是 必须 先 获得 对 方 的 数字 标识 (数字 证 书 )。 

要 对 邮件 进行 数字 签名 必须 首先 获得 一 个 私人 的 数字 标识 (Cdigital ID) , 即 用 户 的 数字 
证 书 。 数 字 标 识 是 指 由 独立 的 授权 机 构 发 放 的 证 明 你 在 Internet 上 身份 的 证 件 。 用 户 应 先 


网 络 安全 技术 与 应 用 实践 


向 这 些 公司 申请 数字 标识 ,然后 就 可 以 利用 这 个 数字 标识 对 你 写 的 邮件 进行 数字 签名 。 如 
果 获 得 了 别人 的 数字 标识 ,还 可 以 给 别人 发 送 加 密 邮 件 。 

目前 Internet 上 有 较 多 商业 性 的 数字 证 书 发 证 机 构 , 其 中 VeriSign 公司 是 Microsoft 
的 首选 数字 证 书 提供 商 。 通 过 VeriSign 的 特别 馈赠 ,IE 用 户 可 获得 一 个 免费 使 用 60 天 的 
数字 标识 。 

下 面 就 以 该 公司 为 例 介 绍 数字 证 书 的 申请 方法 : 直接 进入 VeriSign 公司 的 申请 页 面 
http://www. verisign. com/client/index. html, 单 击 中 间 黄 底 上 的 BUYNOW 按钮 ,如 
图 4. 15 所 示 ; 在 下 一 页 面 选择 Microsoft Internet Explorer, 如 图 4. 16 所 示 。 在 接 下 来 的 
页 面 中 要 求 先 填 一 张 表 ,如 图 4. 17 所 示 , 按 提示 填 入 个 人 信息 及 电子 邮件 地 址 。 填 表 时 有 
一 项 为 Challenge Phrase, 直译 为 “盘问 短语 ”, 是 当 想 取消 数字 标识 时 VeriSign 公司 确认 是 

是 合法 拥有 者 的 询问 口令 。 如 果 不 能 正确 答 出 这 个 短语 ,数字 标识 将 一 直 使 用 到 期 满 为 
止 。 还 有 一 项 Payment Information 是 针对 收费 用 户 的 ,如 果 在 前 面 选 的 是 Td like to test 
drive a 60-day trial Digital ID for free 即 先 试用 60 天 , 则 此 项 不 填 。 确 认 无 误 并 提交 后 ,过 
一 会 儿 ( 大 约 十 分 钟 之 内 ) 你 就 会 收 到 一 封 VeriSign 公司 发 来 的 电子 邮件 ,其 中 就 包含 数字 
标识 PIN 。 


Digital IDs 工 
文件 中 铀 钼 邓 ) 


@a-.© 国 国 @| 记 mm 罗 x_@| -总 国 - DS Bl 


地 址 轩 ) | 狼 http /wer verisien eon/snthentication/ :ndividonl -suthentication/ iital-id/index htal CE 
可 EE L.A 
ned States [crange] | Cortadtus | DFE 


VErisign Soe 


Products & Services ~ Pariners ~ Support ~ About VeriSign ~ My Accourt 


es Uetone> Proges # Savens” VerSg bertty snd nierbegion servens > rtdion or vn» Out ona Us | 
Authentication Services 
ee 
Consumer Authentication Digital IDs for Secure Email 
Enterprise Auhertcaton VeriSign® Digital IDs for Secure Email allow you to dgltaly sign and encnpryour digital communicatons 。 | Stay Informed EN 
using a Class 1 Digital ID, bound to your validated email address. Recipien’s of your email will know that 
Government Mherticaton the content came fromyour emall address and has remained private dunng transmission onina Wserthy nd Trust 


Verisgnto Present st the 


Authentication for ncivisuals 
gy Suisse Annual Tecinolog 
Digital IDs for Secure Email Conference andthe Barc 


Pratict Yourenl oiie Ce 
Price: 1-year certificate $19.95 Conference 

Yeteien berity Poetseton 

enter Syelem rookemarts SME complant emal chent euch as Merosch erg) eer Pate. 
a ER | | Sato! 

Dior RS 

My Credertial for Adobe 

Nae 


Mnriaan Inchistrv Cartifinatn |! Please note: AT oiows are in U.S, dollats. Pavable bv Vica. MastarCard. American Excrtss and Discover, Ghee and 


图 4.15 ” VeriSign 的 证 书 申请 窗口 


一 般 情况 下 只 需 简 单 地 单 击 最 后 那个 NEXT 按钮 就 可 以 继续 了 ,不 过 有 时 可 能 会 提示 

页 面 错误 ,建议 直接 将 回信 中 提供 的 PIN 复制 下 来 ,然后 将 其 填 到 https://digitalid. 

verisign. com/enrollment/mspickup. htm 页 面 下 输入 PIN 的 对 话 框 内 ,如 图 4. 18 所 示 , 单 

击 Submit( 提 交 ) 按 钮 ; 在 弹出 的 如 图 4. 19 所 示 窗 口中 单 击 INSTALL( 安 装 ) 按 钮 ,开始 安 
装 数字 标识 到 本 机 的 Outlook Express 中 。 至 此 ,数字 证 书 的 申请 完成 。 
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Digital ID Choice for Non Javascript — Wicrosoft Internet Explorer 


文件 @ 编辑 人 E) 查看 W) 收 疗 @ 工具 QD) 帮助 0) 


三- 日- 因 国 名 有 时 穴 ex 刀 站 -党 Bk 全“ 
地 址 0) | 例 https: ydisitalid verisigm cm/client/snroll htn 


Google 司 呈 二 时 - 页- 十- 


Cooasle- 此 网 页 内 容 为 英语 。 要 使 用 Google 工具 栏 进行 翻译 09? 
08 此 安全 网 页 的 内 容 会 通过 安全 连接 发 送 给 Google 进行 翻译 。 了 解 详情 


Verisigr Enrollment | 


Choose Your Browser 


Select the browser you would like to use with your Digital ID. To continue 
with enrollment 


you must be using the same browser you select. 


Microsoft Internet Explorez (Yersion 5 or higher) 


@ Mozilla Firefox (Yersion 2 or higher) 


@ Apple Safari 


图 4.16 选择 证 书 提供 商 


icrosoft Class 1 Enrollaent - Microsoft Internet Explorer 
文件 下 ) ” 蝙 可 开 ) 查看 WW) 收藏 工具 CI) 帮助 00 


im- 日 国 国 多 记过 南 tmx 加 加 在 级 回 居所 因 
地 由 0D 个 https /digitalid verisign con/client/classllls. htm 昌国 和 


Google [ert aim 0dwy iduniatdum for gu 必 - 一 是 -二 且 


。。 此 网 页 内 容 为 英 滞 。 要 使 用 Google 工具 栏 翰 行 翻译 吗 ? 
《GOOSIe” 此 安全 网 页 的 内 容 全 通过 安全 活 近 发送 结 Goos 进行 印 尝 。 了 解 洋 和 请: 


6. Open a new Intemet Explorer 7 window and return to enrollment 


Contents of Your Digital ID 


Fill in all fialds Use only the English alphabet with no accented characters This information is 
included in your Digital ID and is available to the public 


First Name: 

Nickname or middle initial allowed 
(example ~ Jack B) 

Last Name: 

(example ~ Doe) 

Your E-mail Address: 
(example ~ jbdoe@verisign.com) 
完毕 


加 国 Internet 
图 4.17 填写 个 人 信息 
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RA 


于 Pickup Digital ID — Wicrosoft Internet 
文件 四 ”编辑 于) 查看 G) 收 诚 和 ”工具 帮助 0 


站 -©- 国 加 多 用 虹 六 已 多 


司 国 -口外 级 回 司 后 四 
地 址 加) | 科 https://digituid verisign. cea/enrollmentymspicimp_htm 


EEC 
Coogle” 此 网 页 内 容 为 英语。 要 使 用 Google 工具 栏 渤 各 这 内? 
08 此 安全 网 页 的 内 容 会 通过 安全 和 连接 发 送 给 Google 进行 翻译 。 了 解 详 情 


Google 


VErisigr Digital ID Services 


Step 3 of 4: Pick up Digital ID 


Step 1: Complete EnrolIment Fom 。 。Step 3: Pid up Code Signing ID 
Step 2: Check E-mail Step 4: Install Code Signing ID 


When picking up your ID, use the same machine and browser used for 
enrollment 


The Personal Identification Number (PIN) is needed to complete this step. It was contained in an e- 
mail message sent immediately after the enrollment form was submitted 

This was sent from YeriSign Customer Support Department to the e-mail address entered in the 
enrollment form. 


Copy the PIN number from the e-mail, paste (or enten it into the box below, and click SUBMIT 


After the PIN is submitted, generating the Digital ID will 
the browser until there is a response 


Enterthe Digital ID Personal 
Identification Number (PIN): 

The Digital ID PIN is listed in the confirmation 人 

mail that was sent fom the Digital ID Center 


图 4.18 填写 PIN 


up to three minutes. Do not interrupt 


Veérisign Digital ID Services 


Step 4 of 4: Install Digital ID 


Step 1: Complete Enioliment Fom Step 3: Pick up Digital ID 
Step 2: Check E-m, » Step 4: Install Digital ID 


Your Digital ID 
Your Digital IDSM has been successfully generated. 


Organization = VeriSign, Inc. 
Organizational Unit = VeriSign Trust Network 

Organizational Unit = www.verisign.com/repository/RPA Incorp. by Ref.,LIAB.LTD(c)98 
Organizational Unit = Persona Not Validated 

Organizational Unit = Digital ID Class 1 - Microsoft 

Common Name = liu yuansheng 

Email Address = ysliu@sjtu.edu.cn 


乓 Please click on the “Install” button to the right to install (ay) 


the Digital ID. 


图 4.19 安装 证 书 到 本 机 
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安装 过 程 中 可 能 出 现 如 图 4. 20 所 示 的 “潜在 的 脚本 冲突 ”情况 , 单 击 “ 是 ”按钮 即 可 。 


潜在 的 脚本 冲突 
Es i .。 六 许 不 信 1 安 。 此 网 站 可 能 会 安装 个 不 信 昌 会 区 许 你 不信 
企 由 任 的 网 站 更 新 您 的 证 书 有 安全 风险 。 此 有 信任 的 证 节 ， 这 可 能 会 允许 您 不 信任 


您 想 让 此 程序 现在 添加 证 书 吗 ? 如 果 您 信任 此 网 站 ,请 单 击 “是 ”。 否 则 ,请 单 击 “ 否 ”。 


aw |ECard 


图 4. 20 潜在 的 脚本 冲突 


用 户 得 到 的 数字 证 书 的 常规 信息 如 图 4. 21 所 示 , 其 详细 信息 包括 版 本 序号、 签名 算 
法 ,颁发 者 、 有 效 起 始 日 期 有 效 截 止 日 期 \ 公 钥 、 基 本 限制 、 密 钥 用 法 等 ; 证 书 路 径 如 图 4. 22 
所 示 。 


视 规 


[信息 | 证 书 路人 
Me 
证 书信 息 


这 个 证 书 的 目的 如 下 : 
* 保护 电子 邮件 消息 
* 向 远程 计算 机 证 明 您 的 身份 
2.16.840.1. 113733.1.7.23.1 


| 常规 “| 详细 信息 | 证 书 路 径 


* 有 关 详细 信息 ， 请 参考 证 书 颁发 机 构 的 说 明 。 


证 书 路 径 字 ) 
绍 发 给 : liu yaansheng 国 verisim class 1 Pablic Primary CA 
图 yerisiem class 1 Individud Subseriber CA - G2 
绍 发 者 : 。 YeriSigm Class 1 Individual Subscriber Dis eche | 
CA- G2 
有 效 起 始 日 期 2009-12-14 到 2010-2-13 
图 4.21 数字 证 书信 息 图 4.22 数字 证 书 路 径 


(2) 利用 数字 证 书签 名 和 加 密 电子 邮件 

获得 数字 证 书后 ,就 可 以 利用 它 对 电子 邮件 进行 签名 和 加 密 ,这样 可 保证 发 送 的 邮件 不 
会 被 算 改 ,外 人 又 无 法 阅读 加 密 邮 件 的 内 容 。 现 在 以 Outlook Express 为 例 , 介 绍 利用 数字 
证 书 对 电子 邮件 进行 签名 和 加 密 的 方法 。 

启动 Outlook Express, 在 主 窗口 单 击 “ 工 具 ”>“ 选 项 ”菜单 ,选择 “安全 ”选项 卡 , 弹 出 如 
图 4. 23 所 示 页 面 。 单 击 “ 高 级 ”按钮 ,弹出 如 图 4. 24 所 示 “ 高 级 安全 设置 "对话 框 , 按 图 示 勾 
选 相 应 的 安全 设置 , 单 击 “确定 ”按钮 退出 。 

发 送 数字 签名 邮件 时 ,可 使 用 数字 标识 (证 书 ) 进 行 签名 。 如 果 和 希望 对 所 有 待 发 的 邮件 
都 进行 数字 签名 ,可 在 如 图 4. 23 所 示 的 “安全 ”选项 卡 下 色 选 “在 所 有 待 发 邮件 中 添加 数字 
签名 ” 复 选 框 ; 如 果 只 希望 对 某 一 封 邮件 进行 数字 签名 , 则 不 要 选择 该 复 选 框 ,只 需 在 每 次 
撰写 邮件 后 按 下 工具 栏 右上 端的 “签名 ”按钮 即 可 。 在 图 4. 23 中 , 单 击 “ 数 字 标 识 ” 按 钮 ,在 
出 现 的 “证 书 ” 对 话 框 选择 要 使 用 的 证 书 , 如 图 4. 25 所 示 。 

图 4.25 中 的 “导入 ?是 帮助 用 户 将 证 书证 书信 任 列表 和 证 书 吊销 列表 从 磁盘 复制 到 证 
书 存储 区 ;“ 导 出 ?是 帮助 用 户 从 证 书 存储 区 将 证 书 、 证 书信 任 列表 和 证 书 吊销 列表 复制 到 
磁盘 。 如 果 要 进行 导入 操作 , 单 击 * 导 入 ?按钮 ,弹出 如 图 4. 26 所 示 的 “证 书 导 入 向 导 ” 对 话 
框 ,在 文件 名 框 中 输入 系统 中 已 存在 的 证 书 文件 (如 *abcde”) , 单 击 * 下 一 步 ?按钮 。 
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常规 


Ec 签名 


| 癌 读 | 眉 执 | 发 送 | 损 S 
拼写 检查 安全 连接 | 


维护 


病毒 防护 
下 载 图 像 
安全 邮件 


和 生生 刺 


选择 要 使 用 的 Internet Explorer 安全 区 域 : 

OO Internet 区 域 不 太 安全 ,但 更 实用 ) 忆 ) 

加 委 限 站 点 区 域 颈 安 全 ) @) 

回 当 别 的 应 用 程序 试图 用 我 的 名 义 发 送 电 子 邮 件 时 警告 我 )。 
回 不 允许 保 存 或 打开 可 能 有 病毒 的 附件 名 


回 阻止 JIWL 电子 邮件 中 的 图 像 和 其 地 外 部 内 容 纪 )。 


许 您 在 电子 事务 【 详细 内 容 旭 .- 


C[ 


[ 医 取 数字 标识 @O) 


Be 


何 对 所 有 待 发 邮件 的 内 容 和 附件 进行 加 密 
SE 


应 用 多 


加 密 邮 件 


6 邮件 加 密 不 足 该 强度 时 发 出 警 肖 QW) 
司 


加 发 送 加 密 邮 件 时 娩 终 加 密 给 自己 如 
数字 签名 的 邮件 


发 送 签名 邮件 时 包 合 我 的 数字 标识 I) 
口 发 送 前 对 邮件 进行 编码 恒 精 签名 ) G) 
将 发 件 人 的 证 书 添加 到 耻 的 通讯 簿 中 A) 
撒 勿 检查 
检查 已 挤 销 数字 标识 
加 只 在 联机 时 @) 
加 从 下 @ 四 


图 4.24 邮件 高 级 安全 设置 


liu yusnsheng VeriSign CLass 1 RE> 
国 ysliu ysliu 2015-1-1 ”< 无 ; 
CY 
证 书 的 预 JR 目 的 
安全 电子 邮件 ， 客 户 端 验证 


图 4.25 选择 数字 证 书 


| Bw] 


注意 : 用 下 列 格式 可 以 在 一 个 文件 中 存储 一 个 以 上 证 书 


个 人 信息 交换 - PiCS #2 (PFX, .P12) 
加 客 消 息 语法 标准 - PECS 打 证 书 CP7B) 
出 erosoft 系列 证 书 存储 区 ( SST) 


图 4.26 输入 导入 文件 
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WW 
进入 Outlook Express, 选 择 “ 文 件 ”>“ 新 建 ”>“ 邮 件 " 菜 单 ,进入 写 邮 件 窗口 ,撰写 新 邮 

件 。 在 填写 好 收 件 人 地 址 和 主题 等 相关 信息 并 写 好 邮件 后 , 单 击 页 面 右 上 方 的 “签名 ”工具 ， 

如 图 4. 27 所 示 。 这 就 为 要 发 邮件 进行 了 签名 ,在 右 侧 可 见 一 个 飘带 状 的 数字 签名 标识 , 打 

开 “ 工 具 ” 栏 时 也 可 看 到 “数字 签名 ”前 被 打 勾 。 这 样 ,发 出 的 这 封 邮 件 就 是 带 有 数字 签名 的 

邮件 。 


; 文件 FE) 编辑 中 查看 W) 插入 C) 格式 @) 工具 四) 


% 和 角 几 


可 切 复制 车站 


邮件 旭 ”帮助 0D 


竺 


@/ 
检查 。 拼写 检查 


ww 
撒 销 


发 闫 
国 收 主人 : 
图 抄 送 : 
主题 


pzhang@sjtu edu.en 


风 知 


宋体 ] 


10 峡 至 BZUA 汪 注 许 诈 至 译 焉 三 一生 国 


张 考 师 ， 您 


好 ! 


! 
请 通知 你 系 全 体 老师 于 下 周三 11 月 25 日 ) 在 综合 楼 四 楼 会 议 室 召 开 下 学 期 教学 任务 安排 与 06 级 学 生 毕 业 设计 安排 会 议 ， 望 


淮 时 参加 。 

另 : 款 务 处 评选 的 优秀 款 材 奖金 已 下 发 ， 注 意 查收 ! 
dy 

2009, 11. 13 


图 4.27 添加 邮件 数字 签名 


当 收 信 方 打开 收 到 的 签名 邮件 后 ,在 附件 中 可 见 到 如 图 4. 28 所 示 的 证 书 文件 夹 , 选 择 
一 个 证 书 并 双击 证 书后 出 现 如 图 4. 29 所 示 证 书页 面 , 这 就 是 发 送 方 签名 的 数字 证 书 (参见 
图 4.21)。 邮 件 接收 用 户 单 击 图 4. 29 中 的 “安装 证 书 ”, 出 现 证 书 导 入 的 欢迎 界面 , 单 击 “ 下 
一 步 ” 按 钮 ,弹出 如 图 4. 30 所 示 的 “证 书 导 入 向 导 ” 对 话 框 ,选择 证 书 存 储 区 域 后 ,再 单 击 “ 下 
一 步 ?按钮 ,证书 导 和 成功。 


文件 @) 操作 以) 查看 WV) 帮助 00 
中 小 | 和 由 | 国 | 蚂 区 名 加 


颁发 者 

Class 1 Pub， 
VeriSign D 
Class 1 Pub. 


过 其 日 期 
2026-6-2 
2010-2-13 


图 4.28 证 书 文件 信息 


发 送 加 密 邮 件 的 方法 与 上 述 发 送 签名 邮件 的 方法 类 似 。 如 果 和 希望 对 所 有 待 发 的 邮件 都 
进行 加 密 , 可 在 图 4. 23 所 示 的 “安全 ?选项 卡 下 勾 选 “在 所 有 待 发 邮件 中 添加 数字 签名 ” 复 选 
框 ; 如 果 只 希望 对 某 一 封 邮件 进行 加 密 , 只 需 在 撰写 邮件 后 单 击 工 具 栏 右上 端的 “加 密 ” 按 
钮 。 当 再 次 打开 “工具 ” 栏 时 即 可 看 到 “加 密 ” 前 被 打 勾 , 且 在 右 侧 可 看 到 一 个 加 密 标识 (一 
把 小 锁 ) ,如 图 4. 31 所 示 。 这 样 ,发 出 的 这 封 邮件 就 是 加 过 密 的 邮件 。 
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忱 规 。 | 详 旨 信 息 证 书 路 径 | 


证 书信 息 


证 书 存 绪 
证 书 存储 区 是 保存 证 书 的 系统 区 域 . 


这 个 证 书 的 目的 如 下 : 
“* 保护 电子 邮件 消息 
。 向 远程 计算 机 证 明 次 的 身份 
2.16. 840.1.113733.1.7.23.1 


* 有 关 详细 信息 ， 请 参考 证 书 堪 发 机 构 的 说 明 。 
颁发 给 


liu yuansheng 
颁发 者 : VeriSign Class 1 Individual Subscriber 
CA 一 G2 


有 效 起 始 日 期 2009-12-14 到 2010-2-13 


(Eo 
图 4.29 发 送 方 的 数字 证 书信 息 


文件 EE) 编辑 E) 查看 W) 插入 0) 格式 O) 工具 人 ) 


-a 


发 送 搜 销 


收 件 人 


zhang@sjtu.edu.cn 


图 4.30 证书 存储 区 选择 


邮件 吧 和 帮助 0 


等 


拼写 检查 附件 


| 


主题 : 本 
有 宋体“ 国 | 国王 jsBz7EA | 


张 老师 ， 您 好 1 


注 华 诈 | 三 要 者 可 | 一 多 国 


请 通知 你 系 全 体 老师 于 下 周三 (11 月 25 日 ) 在 综合 楼 四 楼 会 议 宝 召开 下 学 期 教学 任务 安排 与 06 级 学 生 毕 业 设计 安排 会 议 ， 望 


谁 时 参加 。 
起 教务 处 评选 的 优秀 教材 奖金 已 下 发 ， 注 意 查收 ! 
| 


2009. 11.13 


图 4. 31 


(3) 用 数字 证 书 对 文档 签名 


打开 要 签名 的 Word 文档 (Office 2003/XP)， 


选择 “工具 ”>“ 选 项 "菜单, 单 击 “ 安 全 性 ”选项 
卡 , 如 图 4. 32 所 示 。 单 击 中 部 左 侧 的 “数字 签 
名 ”按钮 ,随后 会 弹出 一 个 如 图 4. 33 所 示 的 
“数字 签名 ”对 话 框 ; 单 击 “ 添 加 ”按钮 ,从 数字 
证 书 中 选择 一 个 (如 “liu yuansheng”) 进行 添 
加 ,如 图 4. 34 所 示 ; 然后 单 击 “ 确 定 ” 按 钮 返 
回 ,得 到 添加 的 数字 证 书 , 如 图 4. 35 所 示 。 现 
在 数字 证 书 就 加 到 该 文档 中 了 , 即 该 文档 被 加 
上 数字 签名 。 当 再 次 打开 签名 后 的 该 文件 时 ， 
就 会 看 到 Word 页 面 最 上 方 显 示 的 文件 名 后 面 
的 括号 中 有 “已 签名 ,未 验证 ”字样 。 签 名 后 的 


添加 邮件 加 密 


拼写 和 语法 | 修订 | 用 户 信息 | 兼容 性 】 中 文 版 式 | 文件 位 置 


视 田 | 坑 | 】 安全 性 
此 文档 的 文件 加 密 迁 项 
打开 文件 时 的 密码 0) [ 
此 文档 的 文件 共享 选项 
外 弘文 件 时 的 密码 旭 : [| 

口 建议 以 R 读 方式 打开 文档 到) 

隐 夭 千 项 

口 保 夯 时 从 文件 慰 性 中 扣 院 个 人 信息 到 ) 

口 打印 保存 或 发 送 包 全 修订 或 批注 的 文件 之 前 结 出 要 千 中 


编 则 | 打印 |[ 保存 


] 


存储 用 于 增强 合并 精确 性 的 随机 六 号 ) 
回 打 开 或 保存 时 标记 可 见 @) 
宝安 全 人 性 


调整 安全 级 别 以 打开 可 能 包 合 室 病 毒 的 文件 ， 并 指 
定 可 信任 的 定 自 建 者 姓名 。 


[宝安 全 性 GE) 


[到 和 ][ 职 汉 
4.32 文档 的 安全 性 选项 
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文档 不 能 再 修改 , 若 要 保存 修改 的 内 容 , 则 会 取消 其 签名 ,如 图 4. 36 所 示 。 


[Ss | 


由 ,0ffics 生成 的 数字 签名 无 法 构 万 一 个 全 法 坟 定 的 数 
和 请 在 “于 助 ” 早 查 癌 青 关 数 


下 列 用 户 已 对 此 文档 进行 了 数字 答 名 


签名 人 数字 标识 大 发 人 ED 
2010-2-13 
* 3 2015-1-1 
Vy 其 
帮助 a = | 国 
[me] CW | Ev 
图 4.33 添加 数字 签名 证 书 图 4.34 选择 数字 签名 证 书 
签名 
ice 一 个 合法 时 定 的 数 
壮 和 和 和 
多 内容， 
下 列 用 户 已 对 此 文档 进行 了 数字 签名 
多 名 ii ED 


人 数字 标识 颁发 人 
ee Class 1 I,,. 2009-1 


< ee] 
回 附加 带 新 于 签名 的 证 节 CD) 及 
查看 证 书 中) 添加 以 ) 册 B B 
人 全 人 文档 中 的 所 有 数字 芷 各 ， 是 表 ? 
Ce 2 
图 4.35 添加 数字 证 书 图 4.36 文档 签名 后 的 提示 信息 


当 别 人 打开 该 文档 时 ,选择 “工具 ”一 “选项 ”菜单 , 单 击 “安全 性 ”选项 卡 后 ,在 此 处 会 看 
到 数字 证 书 , 就 知道 该 文档 是 你 编写 的 ,因为 有 你 的 数字 签名 。 

(4) 数字 证 书 在 网 上 银行 的 应 用 

银行 数字 证 书 的 主要 功能 是 交易 方 身份 鉴别 、 保 证 信息 的 完整 性 和 信息 内 容 的 保密 性 。 
交易 方 身份 验证 就 是 要 能 准确 鉴别 信息 的 来 源 , 鉴 别 彼此 通信 的 对 等 实体 的 身份 , 即 银 行 网 
站 验证 证 书 持 有 者 的 身份 ,而 客户 也 可 以 通过 网 站 证 书 验证 网 站 的 合法 性 ; 保证 信息 的 完 
整 性 就 是 确保 收 到 的 信息 就 是 对 方 发 送 的 信息 ,在 交换 过 程 中 没有 乱 序 或 修改 ; 信息 内 容 
的 保密 性 就 是 对 交换 的 信息 实施 加 密 保护 ,使 第 三 者 即使 截获 这 些 数据 ,也 无 法 读 懂 其 中 包 
含 的 信息 。 

只 要 用 户 申 请 并 使 用 了 银行 提供 的 数字 证 书 , 即 可 保证 网 上 银行 业务 的 安全 。 这 样 , 即 
使 黑客 窃取 了 用 户 的 账户 密码 ,因为 没有 用 户 的 数字 证 书 , 也 就 无 法 进入 用 户 的 网 上 银行 账 
户 。 经 过 数字 签名 的 网 银 交 易 数 据 是 不 可 修改 的 , 且 具 有 唯一 性 和 不 可 否认 性 ,从 而 可 以 防 
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止 他 人 冒 用 证 书 持 有 者 名 义 进行 网 上 交易 ,维护 用 户 及 银行 的 合法 权益 ,减少 和 避免 经 济 及 
法 律 纠纷 。 

数字 证 书 申请 流程 通常 是 : 用 户 先 到 银行 申请 数字 证 书 一 再 到 指定 网 站 下 载 数字 证 书 
(通常 是 该 银行 网 站 )-~ 下 载 后 双击 即 可 加 载 使 用 。 下 载 数字 证 书 时 提示 设置 私 钥 密 码 ,要 
记 住 该 密码 ,因为 证 书 导出 、 导 入 时 要 用 到 它 。 下 载 完 毕 后 要 马上 导出 证 书 把 它 保存 好 ,以 
便 在 别 的 机 器 上 使 用 。 

利用 正 浏览 器 导出 证 书 的 过 程 是 : 在 正 主 菜单 中 依次 选择 “工具 ”>“Internet 选项 ”一 
“内 容 ” 一 “证 书 ” 菜 单 ,在 “个 人 ”分 类 下 找到 颁布 者 为 “ABC” 的 那个 证 书 并 选中 它 , 单 击 “ 导 
出 ?按钮 ,把 它 存 放 成 一 个 证 书 文件 。 这 个 文件 可 以 存放 到 U 盘 中 以 备 随 时 取 用 ,也 可 以 放 
在 邮箱 中 保存 。 导 入 时 只 需要 把 保存 好 的 证 书 文件 复制 出 来 ,双击 它 就 可 以 了 。 

下 面 以 农业 银行 上 海 分 行 的 网 上 银行 为 例 , 介 绍 银行 数字 证 书 的 下 载 安装 与 应 用 。 

个 人 客户 若 想得到 网 上 银行 的 数字 证 书 , 需 持 本 人 有 效 身 份 证 件 及 账户 到 银行 营业 网 
点 办 理 证 书 申请 手续 。 办 理 手 续 时 填写 有 关 电 子 银行 业务 个 人 客户 注册 申请 表 , 选 择 开 通 
网 上 银行 服务 ,并 签署 相关 的 电子 银行 服务 协议 。 银 行营 业 网 点 将 当场 录入 客户 信息 ,自行 
设 定 注册 密码 ,选择 购买 动态 口令 卡 或 支付 宝 , 完 成 注册 。 注 册 时 银行 会 给 你 一 组 14 位 的 
注册 编号 (授权 码 ) 和 8 位 的 注册 密码 。 用 户 在 有 效 期 内 登录 到 银行 网 站 ,安装 根 证 书 和 申 
请 用 户 数字 证 书 。 证 书 下 载 完 成 后 ,就 可 通过 银行 网 站 登录 网 上 银行 。 

在 银行 网 点 办 完 证 书 申请 手续 后 ,用 户 可 上 网 进入 中 国 农 业 银行 上 海 分 行 网 站 
(http://www. 95599. sh. cn) 申 请 证 书 , 进 入 如 图 4. 37 所 示 的 网 站 首页 后 ,首先 单 击 右 侧 的 
“下 载 证 书 ” 按 钮 ,在 随后 出 现 的 页 面 中 明确 安装 环境 设置 (操作 系统 ); 然后 单 击 “ 下 一 步 ” 
按钮 ,进入 “下 载 证 书 ” 页 面 ,就 可 看 到 “个 人 用 户 证 书 下 载 安装 ”流程 。 按 照 流程 首先 安装 
CA 根 证 书 。 


Er ry 
Om 日 国 国 的 甩 ee 灾 mma 各 全 -加 回避 起 履 国 二 @ 国 
FT FE ew nr nw 加 


Govgle [二 i EE 二 一 名 -是 - 


(Blend 


图 4.37 农行 上 海 分 行 首页 


a 安装 CA 根 证 书 
中 国 农业 银行 在 线 银行 网 站 公 钥 证 书 经 过 中 国 农业 银行 CA 中 心 的 根 签名 认证 ,并 且 
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可 以 用 中 国 农业 银行 CA 根 证 书 进行 验证 。 用 户 安装 该 行 的 CA 根 证 书后 ,浏览 器 将 自动 
验证 该 行 网 上 银行 网 站 的 有 效 性 ,避免 伪造 网 站 给 用 户 造 成 损失 。 

安装 CA 根 证 书 的 过 程 如 下 : 

第 1 步 : 单 击 安装 “流程 ” 中 的 “安装 CA 证 书 ” 一 ”CA 根 证 书 下 载 ”, 弹 出 如 图 4. 38 所 
示 页 面 。 


: 单 击 “安装 证 书 ” 按 钮 ,弹出 “证 书 导 入 向 导 ” 欢 迎 页 面 。 
第 3 步 : 单 击 * 下 一 步 ” 按 钮 ,弹出 证 书 存储 页 面 ,如 图 4. 39 所 示 。 


| 宙 机 ”|i 信息 [证 3 中 径 


证 书信 息 
证 书 导入 向 导 加 
该 CA 根 证 书 不 要 信任 。 要 启用 信任 ,请 将 该 证 书 安 -| 
装 到 友信 任 的 根 证 书信 冯 机 构 存 能 证 让 生 
| 证 着 存 全 区 是 保存 证 书 的 系统 区 域 。 
| Windors 可 以 自动 选择 证 书 存储 区 ， 或 者 个 可 以 为 证 书 指定 一 个 位 置 ， 
| < 要 所 证书 类 型 ， 自 动 达 撞 证 书 存 傅 区 y 
| 他 发 给 : 。 A5C 〇 将 所 有 的 证 书 衣 入 下 列 存储 区 @) 
颁发 者 :ABC EI 
有 效 起 始 日 期 2003-6-11 到 2023-6-11 


EE-sw] 


图 4.38 证 书 的 常规 信息 图 4.39 证 书 存储 区 域 选择 


第 4 步 : 选择 “根据 证 书 类 型 ,自动 选择 证 书 存 储 区 ” 单 选项 ,然后 单 击 “下 一 步 ” 按 钮 ; 
也 可 将 证 书 下 载 到 磁盘 或 U 盘 (USB) 上 ,然后 再 将 CA 根 证 书 导 入 IE。 

第 5 步 : 在 出 现 的 如 图 4. 40 所 示 页 面 中 , 单 击 “ 完 成 ”按钮 后 ,系统 提示 CA 根 证 书 导 
入 成 功 , 单 击 “ 确 定 ” 按 钮 ,如 图 4. 41 所 示 。 


正在 完成 证 书 导 入 向 导 


您 已 成 功 地 完成 证 书 导入 向 导 。 


您 已 指定 下 列 设置 
选 定 的 证 书 存储 该 向 导 自动 决定 
内 容 证 书 


证 书 导入 向 导 “网 ] 


J 导 和 成功 


[EE] 
图 4.40 证 书 导入 完成 图 4.41 证 书 导 和 成功 提示 


141 


a 


142 
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@ 申请 数字 证 书 

CA 根 证 书 安装 完毕 后 , 接 下 来 就 是 安装 驱动 程序 和 申请 (下 载 安装 ) 数 字 证 书 。 安 装 
驱动 程序 的 过 程 在 此 不 作 介绍 。 

证 书 申请 过 程 如 下 : 

第 1 步 : 进入 如 图 4. 37 所 示 的 网 站 首页 后 , 单 击 * 下 载 证 书 ” 按 钮 。 

第 2 步 : 单 击 随后 出 现 的 页 面 左下 侧 的 “证 书 下 载 向 导 ”, 进 入 如 图 4. 42 所 示 的 证 书 安 
装 向 导 页 面 。 

第 3 步 : 单 击 “ 新 证 书 申请 ”, 进 入 如 图 4. 43 所 示 的 证 书 下 载 页 面 。 

第 4 步 : 选择 “个 人 注册 客户 ”, 单 击 “ 下 一 步 ” 按 钮 ,进入 “个 人 注册 客户 验证 ”页 面 ,如 
图 4.44 所 示 。 

第 5 步 ; 在 “用户 名 ”和 “密码 ” 框 中 分 别 输 入 用 户 名 (注册 编码 ) 和 密码 (注册 密码 ), 单 
击 “ 下 一 步 "按钮 。 

至 此 , 即 可 完成 证 书 申请 。 


新 证 书 更 方便 更 安全 
安全 登录 证 书 安装 向 导 


装 


新 证 书 申请 
新 证 书 申请 证 书 下 载 


请 途 择 注册 客户 类 型 : 


图 4.42 安全 登录 证 书 安装 向 导 图 4.43 选择 客户 类 型 
@ 使 用 数字 证 书 


现在 ,用 户 可 以 使 用 证 书 来 确保 网 上 银行 的 安全 了 。 用 户 进 入 银行 网 站 后 ,在 “在 线 银 
行 登录 区 ”, 选 择 “ 个 人 注册 用 户 ”, 按 照 提 示 ,选择 正确 的 证 书号 ,输入 用 户 号 和 密码 , 即 可 登 
录 自 己 的 网 上 银行 账户 ,办 理 转账 ,网 上 速 汇通 等 业务 。 

建议 在 图 4. 39 中 选择 “将 所 有 的 证 书 放 入 下 列 存储 区 ”项 , 单 击 “ 浏 览 ” 按 钮 添加 U 盘 
(USB) ,把 证 书 保存 在 U 盘 上 ,使 用 网 上 银行 时 再 插 到 计算 机 上 ,这 样 可 有 效 地 防止 证 书 
被 盗 。 

USB Key( 简 称 UB) 是 一 种 USB 接口 的 硬件 设备 , 它 内 置 单片机 或 智能 卡 芯 片 ,有 一 
定 的 存储 空间 ,可 以 存储 用 户 的 数字 证 书 和 用 户 私 钥 。 可 利用 USB Key 内 置 的 公 钥 算法 实 
现 对 用 户 身 份 的 认证 。 由 于 用 户 私 钥 保 存在 密码 锁 中 ,理论 上 使 用 任何 方式 都 无 法 读 取 , 因 
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此 保证 了 用 户 认证 的 安全 性 。 由 于 USB Key 的 安全 度 高 , 且 成 本 很 低 ,所 以 被 广泛 应 用 于 
网 上 银行 的 数字 证 书 加 密 。 使 用 USB Key 存放 代表 用 户 唯 一 身份 的 数字 证 书 和 用 户 私 钥 。 
在 网 上 银行 应 用 中 ,对 交易 数据 的 数字 签名 都 是 在 USB Key 内 部 完成 的 ,并 受到 USB Key 
的 PIN 码 保 护 。 图 4. 45 为 银行 用 USB Key 实物 图 。 使 用 USB Key 后 ,即使 黑客 完全 远程 
控制 了 用 户 的 计算 机 ,也 无 法 成 功 进行 登录 认证 交易 。 


名 了解 证 书 ”图 软件 安装 © 


个 人 注册 客户 验证 


畏 入 您 的 14 位 注册 编号 


图 4. 44 验证 用 户 信息 图 4.45 银行 用 USB Key 实物 图 


提示 : 当 个 人 客户 使 用 USB Key 作为 证 书 存 放 介质 时 ,必须 安装 USB Key 驱动 程序 ， 
安装 完成 后 再 进行 证 书 申 请 。 


4.4.3 Office 2003/XP 文档 的 安全 保护 


Word 和 Excel 是 人 们 日 常 工作 和 生活 中 十 分 常用 的 办 公 软 件 , 因 此 ,保证 Word 和 
Excel 文档 的 安全 是 十 分 重要 的 。Word 和 Excel 本 身 也 提供 了 许多 安全 和 保护 功能 。 本 
节 介 绍 几 种 对 Word 和 Excel 文档 实现 安全 保护 的 技巧 。 


1. 保护 文档 的 保密 性 


如 果 用 户 不 希望 自己 的 Word 和 Excel 文档 被 别人 阅读 ,可 以 通过 添加 “打开 密码 ” 方 
式 实施 保护 。 可 以 有 如 下 方法 为 Word 文档 添加 密码 。 

(1) 启动 Word, 打 开 需 要 加 密 的 文档 , 单 击 “ 工 具 ” 一 “选项 ”命令 ,打开 “选项 ”窗口 , 单 
击 “ 安 全 性 ”选项 卡 ,如 图 4. 46 所 示 ; 在 图 中 “打开 文件 时 的 密码 ” 右 侧 的 方 框 中 输入 密码 ， 
单 击 “ 确 定 ” 按 钮 ,随后 再 输入 一 次 该 密码 , 单 击 “ 确 定 ” 按 钮 退出 ,然后 保存 当前 文档 即 可 。 

注意 : 上 述 “ 加 密 ” 设 置 并 非 对 文档 内 容 进 行 了 加 密 , 而 是 为 打开 该 文档 设置 了 “密码 ”。 
此 后 需要 打开 该 文档 时 ,需要 输入 正确 的 密码 ,否则 不 能 打开 文档 。 

(2) 在 对 新 建文 档 进行 “保存 ”或 对 原 有 文档 进行 “另存 为 ”操作 时 ,打开 “文件 ”菜单 , 选 
择 “ 另 存 为 ”, 在 弹出 的 “另存 为 ”窗口 的 右上 角 点 开 “ 工 具 ” 菜 单项 ,在 其 下 拉 菜 单 中 选择 “ 安 
全 性 措施 ”选项 ,弹出 如 图 4. 47 所 示 的 “安全 性 ”对 话 框 ,其 后 步 又 同方 法 (1)。 

实际 上 ,这 两 种 方法 是 一 样 的 ,只 是 操作 步骤 不 同 而 已 。 

可 以 用 类 似 方法 操作 为 Excel 文档 设置 密码 保护 。 方 法 (2) 中 稍 有 不 同 的 是 : 在 出 现 
的 “另存 为 ”窗口 的 右上 角 点 开 “ 工 具 ” 菜 单项 ,在 其 下 拉 菜 单 中 选择 “常规 ”选项 而 非 “ 安 全 性 
措施 ”选项 ,弹出 如 图 4. 48 所 示 对 话 框 。 
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选项 中 区 | 
ne aes 2 | 
上 | RS 
此 文档 的 文件 加 守 迁 项 
| Hx 文件 加 这 项 
| 打开 文件 时 的 密码 0: (Gr Ey XH: Cn) | 区 Gisaa 
| Ray 大 此 文档 文件 共 训 选项 
的; 人 修改 文件 时 的 灾 码 四 
口 建 汉 以 R 读 方式 打开 娘 档 四 于 口 建议 以 R 读 方式 打开 文档 加 
IEEEEECJ 保护 文档 全 EST 
隐 背 选项 隐私 项 
口 保 时 从 文件 层 性 中 贡院 个 人 信息 口 保 条 时 从 文件 原 性 中 出 除 个 人 信息 gE) 
口 打 印 、 保 存 改 送 包 合 修订 革 所 注 的 文件 之 前 给 出 区 关中 回 打印 、 保 存 或 发送 包 全 修订 或 批注 的 文件 之 前 结 出 警告 
回 存 信用 于 增强 人 并 本 确 性 的 关机 编号 ) 回 存 信用 于 增强 合并 精确 性 的 随机 述 号 ) 
回 打开 或 保存 时 标记 可 见 回 打 开 或 保存 时 标记 可 见 wD) 
安安 人 性 室 安 全 性 
打开 可 能 饲 定 靖 毒 的 文件 ， 并 指 , 3H Ee 
后生 相 FE 的， 并 
Ca CR 
图 4.46 设置 打开 文档 密码 (1) 图 4.47 设置 打开 文档 密码 (2) 


2. 保护 Word 文档 的 完整 性 


如 果 用 户 的 Word 和 Excel 文档 允许 别人 查看 而 不 允许 修改 ,可 以 采取 设置 “修改 密 
码 ” 的 方法 实现 。 

在 图 4. 46 或 图 4.47“ 修 改 文件 时 的 密码 ”或 图 4. 48“ 修 改 权 限 密码 ” 右 侧 的 方 框 中 输 

入 密码 , 单 击 “确定 ”按钮 ,再 输入 一 次 确认 密码 , 单 击 “ 确 定 ” 按 钮 退出 后 ,保存 当前 文档 。 这 

样 可 使 别人 阅读 相关 文档 而 不 能 对 其 进行 编辑 。 

注意 : 在 打开 设置 了 “修改 文件 时 的 密码 ”的 文档 时 ,会 弹出 如 图 4.49 所 示 对 话 框 。 如 
在 对 话 框 中 输入 密码 , 则 可 打开 Word 文档 并 进行 编辑 和 修改 ; 如 不 输入 密码 ,直接 单 击 左 
侧 下 方 的 “只 读 ” 按 钮 , 则 可 打开 Word 文档 进行 浏览 ,但 此 时 对 文档 所 作 的 任何 修改 , 均 不 
能 被 保存 到 原文 档 中 。 


保存 选项 
口 生成 备份 文件 @) 
文件 共享 


% Word 文档 安全 保护 ” 


由 被 软 用 户 保存 


人 ， 理 则 以 只 读 方式 


密码 包 ): (Ce 
EETY [WE 0 7] 


图 4.48 设置 打开 文档 密码 (3) 图 4.49 输入 修改 文件 密码 


在 Excel 环境 下 , 勾 选 图 4. 48 所 示 对 话 框 的 “建议 只 读 " 复 选 框 ,这 样 无 论 何 时 打开 工 
作 夭 ,Excel 总 是 首先 显示 出 一 个 提示 信息 对 话 框 ,建议 应 以 只 读 方 式 打开 工作 簿 ,达到 工 
作 短 内 容 不 被 改写 的 目的 。 

设置 “打开 文件 时 的 密码 ?是 为 了 防止 别人 修改 Word( 或 Excel) 文 档 , 对 文档 起 保密 作 
用 。 如 果 只 设置 “修改 密码 ”, 那 么 别人 仍然 可 以 打开 该 文档 (如 只 读 方式 ) ,但 是 若 不 知道 密 
码 , 则 不 能 对 其 做 任何 修改 ,这 可 起 到 保护 文档 完整 性 作用 。 这 两 种 密码 是 相互 独立 的 ,可 
以 根据 自己 的 需要 分 别 设 定 , 它 们 可 以 相同 也 可 以 不 同 。 
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3. 禁止 未 授权 编辑 文档 


(1) 保护 Word 文档 

在 Word 文档 中 选择 “工具 ”>“ 保 护 文档 ”命令 (或 在 图 4. 46、 图 4. 47 中 单 击 “ 保 护 文 
档 ” 按 钮 ) ,在 编辑 文档 的 右 侧 展 开 “ 保 护 文档 "任务 窗 格 ,如 图 4. 50 所 示 。 勾 选 “ 仅 允 许 在 文档 
中 进行 此 类 编辑 ”项 后 ,其 下 面 的 对 话 框 中 有 4 个 可 选项 : 未 作 任 何 更 改 (只 读 ) 填写 窗 体 、 批 
注 和 修订 。 选 择 “ 未 作 任何 更 改 (只 读 )” 项 表示 “文档 受 密码 保护 ,特殊 限制 有 效 , 只 能 查看 此 
区 域 ”; 选择 “填写 窗 体 ”项 表示 “文档 受 密码 保护 ,特殊 限制 有 效 ,只 能 在 此 区 域 中 填写 窗 体 ”; 
选择 “批注 ”项 表示 “文档 受 密码 保护 ,特殊 限制 有 效 , 只 能 在 此 区 域 中 插入 批注 ”; 选择 “修订 ” 
项 表示 “文档 受 密码 保护 ,特殊 限制 有 效 , 可 以 在 此 区 域 中 编辑 ,但 所 有 更 改 将 作为 修订 ”。 选 
择 上 述 四 项 之 一 (如 “填写 窗 体 ”, 见 图 4. 51) 后 单 击 * 是 ,启动 强制 保护 ”按钮 ,打开 如 图 4. 52 所 
示 的 “启动 强制 保护 ”对 话 框 。 输 入 密码 并 再 次 输入 确认 密码 , 单 击 “ 确 定 ” 按 钮 返回 。 


a a 


1， 格 式 设置 限制 1 格式 设置 限制 

口 限制 对 选 定 的 样式 设置 格式 口 限制 对 选 定 的 样式 设置 格式 
设置 设置 

2 编辑 限制 2 


2 
1 回 刀 允许 在 文档 中 进行 此 类 编 
EETLY EE] 


人 
人 


图 4.50 设置 保护 文档 的 编辑 限制 (1) 图 4.51 设置 保护 文档 的 编辑 限制 (2) 


当 Word 文档 需要 传 给 不 同 的 人 查看 ,希望 对 方 添加 批注 而 不 希望 其 进行 其 他 编辑 时 ， 
可 以 在 图 4.50* 保 护 文档 "窗口 中 选择 “ 仅 允许 在 此 文档 中 进行 此 类 编辑 ”中 的 “批注 ”, 这 样 
别人 就 只 能 对 文档 进行 批注 ,而 无 法 进行 其 他 操作 ; 如 果 和 希望 对 文档 进行 修订 , 则 可 选择 
“修订 ”项 ,此 时 对 文档 所 做 的 编辑 更 改 只 能 作为 “修订 ”; 如 果 只 希望 别人 阅读 此 文档 而 不 
允许 进行 任何 修改 , 则 可 选择 “未 作 任 何 更 改 ( 只 读 )" 项 。 

对 Word 文档 “启动 强制 保护 ”后 ,工具 栏 和 格式 的 大 部 分 设置 (工具 按钮 ) 都 变 为 浅 灰 
色 ,不 能 被 操作 ,这 就 说 明 设置 的 保护 已 经 生效 了 。 

如 果 需 要 重新 编辑 或 修改 文档 时 ,要 解除 上 述 保护 ,可 选择 “工具 ”一 “取消 文档 保护 ” 命 
令 , 在 弹出 的 如 图 4. 53 所 示 的 密码 框 中 输入 正确 的 密码 , 单 击 “ 确 定 ” 按 钮 即 可 。 


取消 保 扩 文 档 
过 玛 吕 )- 


Cw 
图 4.52 启动 强制 保护 时 设置 密码 图 4.53 取消 文件 保护 时 输入 密码 
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(2) 保护 Excel 文档 
在 Excel 工作 表 中 , 选 定 需 要 锁定 的 单元 格 ,选择 “格式 ”单元 格 ? 莱 单 (或 选中 并 右 
击 单元 格 ,在 弹出 的 菜单 中 选择 “设置 单元 格格 式 ” 项 ) ,在 
人 并 选中 


保护 工作 表 及 锁定 的 单元 格 内 容 亿 ) 


锁定 ”默认 状态 下 单元 格 和 图 形 对 象 均 处 于 锁定 状态 ); | 号 罗 中 


执行 “工具 ”一 “保护 ”一 “保护 工作 表 ” 命 令 , 设 置 保护 密 ne 
码 , 即 完成 对 单元 格 的 锁定 设置 。 此 时 ,已 设置 了 工作 表 i 
保护 ,工作 表 中 相应 信息 不 能 被 修改 。 如 果 要 防止 其 他 用 
户 取 消 工 作 表 保护 ,可 在 “密码 ”文本 框 中 输入 密码 并 再 次 
确认 ,如 图 4.54 所 示 。 

当 用 户 想 撤销 所 做 的 工作 表 保 护 时 ,在 Excel 工作 表 
中 ,选择 “工具 ”一 “保护 ”>“ 撤 销 工作 表 保 护 ” 命 令 即 可 。 


4. 隐藏 文档 记录 


图 4.54 设置 保护 工作 表 密 码 


在 一 台 微 机 可 能 被 多 个 用 户 使 用 的 情况 下 ,如 果 用 户 A 在 该 机 上 编辑 并 保存 Word 或 
Excel 文档 后 下 机 , 当 用 户 B 再 使 用 该 机 时 ,就 有 两 种 渠道 查看 到 用 户 A 编辑 过 的 Word 或 
Excel 文件 名 : 一 种 是 在 “开始 "菜单 的 “文档 "下 ; 另 一 种 是 在 打开 Word 或 Excel 文档 后 的 
“文件 ”菜单 下 。 如 果 用 户 A 的 这 些 文件 或 其 存储 的 位 置 在 上 次 使 用 退出 后 未 做 改变 , 则 用 
户 B 单 击 相 应 的 文件 名 就 可 打开 文件 ,并 可 进行 阅读 和 修改 。 通 常情 况 下 用 户 不 希望 别人 
阅读 ,修改 或 复制 自己 编辑 过 的 文件 ,因此 用 户 要 设法 保护 自己 的 文件 。 可 采取 如 下 操作 保 
护 Word 或 Excel 文 档 不 被 其 他 人 打开 。 

(1) 对 于 第 一 种 情况 ,可 有 如 下 两 种 方法 。 

方法 1: 用 户 可 在 “开始 ”一 运行” 框 中 输入 “gpedit. msc” 并 确认 ,打开 组 策略 ,依次 打 
开 “ 用 户 配 置 ”>“ 管 理 模 板 ” 一 “任务 栏 和 [开始 | 菜单 ”如 图 4. 55 所 示 。 然 后 在 右边 的 设 
置 列表 中 进行 操作 ,以 下 两 种 操作 均 可 达到 目的 。 


文件 中 换 作 Q) 查看 Y) 玉 助 和 D 
和 了 | 后 | 加 | 人 辐 忆 岛国 


Se a 任务 栏 和 [开始 1 菜单 
本 荫 iaLI 轩 
日 硬 用 Pe 轩 | , 
久生 软件 时 不 要 保 贸 最 近 打 开 文 着 的 记录 次 a 
田 自 Yindows 设置 | 显示 必 性 Ed 
所 国营 理 模 桥 | SR 
全 任 各 栏 和 [开始 | 菜 | 要 下 人 设置 宁 负 
鲜 点 画 至 少 本 erosegt Windors 2000 从 [开始] Exe 网 络 连 接 " 
EE | 从 [开始] 菊 单 中 国 辽 “收藏 严 " 菜 生 
国 共享 文件 天 | 从 [开始] 菜单 中 出 除 “要案 ”菜单 


从 [开始] 菜单 中 髓 除 “ 运 行 ” 菜单 

国 Mindors 所 和 加 果 忆 用 此 策略 设置 ， 则 系统 和 从 「 开 娩 ] 这 单 中 加 除 “图 片 收 麻 ” 加 标 

Yindows 程序 不 会 包 峙 策略 设置 生 

效 期 间 打开 的 文档 的 快捷 方式 。 

外 ， 人 
志清 宝 [开始 | 菜 


和 
由 
国 EE 
省 teispesekranem “多 
人 | 星 示 最 和 打开 文科 的 快 搜 方式 县 pv 
固 


如 果林 用 此 策略 设置 ， 系 起 默认 值 
| 生效 。 茜 用 此 第 略 设置 不 会 对 系统 
产生 任何 影响 。 


中 注意 :系统 在 systen- 


4.55 ”组 策略 之 “任务 栏 和 [开始 | 菜单 ” 
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Q@ 在 图 4. 55 中 选择 “从 [开始 | 菜单 上 删除 “文档 "菜单 ”项 ,双击 打开 后 ,选择 “已 启 
用 ”选项 ,如 图 4. 56 所 示 ,再 单 击 “ 确 定 ” 按 钮 。 这 样 做 的 结果 可 以 使 “开始 ”菜单 中 的 “我 最 
近 的 文档 ”项 彻底 消失 。 

@ 在 图 4.55 中 选择 “不 要 保留 最 近 打 开 文档 的 记录 ”项 ,双击 打开 后 ,选择 “已 启用 ” 选 
项 ,如 图 4. 57 所 示 , 再 单 击 “ 确 定 ” 按 钮 。 这 样 做 后 用 户 最 近 打 开 过 的 所 有 文档 的 记录 都 不 
再 出 现 。 


从 「 开 始 」 训 单 上 删除 “ 文 条 ” 训 单 属性 


设置 [说明 


邹 不 要 保留 最 近 打 开 文档 的 记录 


急 从 [开始 | 菜单 上 删除 “文档 ” 茶 单 


OE) 


〇 已 禁用 由 ) 


图 4.56 “从 [开始 | 菜单 上 删除 “文档 图 4.57 “不 要 保留 最 近 打 开 文 档 的 
菜单 属性 ”对 话 框 记录 属性 ”对 话 框 


方法 2: 右 击 “开始 ”命令 ,选择 “属性 ”, 在 “任务 栏 和 [开始 | 菜单 属性 ”对 话 框 中 选 
“| 开始 | 菜单” 选项 卡 ,选中 *[ 开 始 | 菜单 ”, 单 击 " 自 定义 ”按钮 ,在 弹出 的 图 4. 58 所 示 的 “ 自 
定义 [开始 | 菜单 ”对 话 框 中 选择 “高 级 ”选项 卡 ,取消 最 下 端 * 列 出 我 最 近 打 开 的 文档 " 复 选 
框 的 选择 , 单 击 “ 清 除 列表 ”按钮 ,如 图 4. 58 所 示 。 完 成 上 述 操 作 后 再 查看 “开始 ”一 “文档 ” 
下 即 为 “( 空 )” 了 。 


任务 栏 和 「 开 始 1 莱 单 属性 多 用 自 定义 「 开 始 」 荣 单 
任务 栏 】 开始] 菜单 
3 [开始 」 菜单 设置 


回 当 民 标 停止 在 它们 上 面 时 打开 子 菜单 0) 
回 突 出 显示 新 安装 的 程序 如 


子 妆 件 和 您 dQ C3 ee 清除 此 列 
nd 医生 
名 经 典 [开始 | 来 音 ) EC TT ET 
机 Windows 的 菜单 祥 式 ， 
请 选择 这 个 选项 。 
Cj ww ] 
和 是 |] 不 击 面 


图 4.58 自 定义 “开始 ?菜单 


(2) 对 于 第 二 种 情况 ,用 户 可 在 Word 或 Excel 环境 下 ,执行 “工具 ”>“ 选 项 ”命令 ,打开 
“常规 ”选项 卡 ,取消 “ 列 出 最 近 所 用 文件 ”或 “最 近 使 用 的 文件 列表 ” 复 选 框 的 选择 (或 将 文件 
数字 降 为 0) 即 可 ,如 图 4. 59 和 图 4. 60 所 示 。 
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| 振 写 和 语法 | 修 洒 | 用 户 信息 上 莱 容 性 | 中 文 版 式 | 文件 位 置 
| 视图 | 党 议 | 编辑 | 打印 | 保存 | 安全 性 


利 规 选项 
后 全 重新 分 页 吧 ) 

口 昔 底 白字 
占 提供 声音 反馈 G@) 
回 提供 动画 反馈 了 9 
口 打 开 时 确认 转换 0) 
回 打 开 时 更 新 自动 方式 的 涟 接 UL) 
回 - 


英文 


口 刀 许 阿 页 背景 开 放 (G) 

回 插入 “自选 图 形 ” 时 自动 创建 圭 图 画布 C) 

度量 单位 mW: | 诉 六 加 
口 为 mi 功能 显示 借 案 
回 全 用 字符 单位 0D 


回 苑 话 从 “阅读 版 式 " 启动 四 
回 中 文字 体 也 应 用 于 西 文 @) 
Word 6.0/95 文档 中 ) 


名 


服务 选项 


] [rev 选项 四 . 


电子 邮件 选项 


CE jC] 


图 4.59 Word 下 取消 “ 列 出 最 近 所 用 文件 ” 


口 用 智能 限 标 缩放 必 ) 


EE 闻 | 国际 [ 保存 ”| 博识 检查 | 拼写 检查 | 安全 性 | 
视图 ”| 于 新 H 算 | 编 加 天 划一 | 1-2-3 的 攻 助 ”| 自 定义 序列 
设置 
口 Mc! 引用 样式 C) 口 提示 输入 工作 往 搞 要 信息 中) 
口 提供 声音 反馈 全 ) 


Wab 选项 中) 服务 选项 中) 
新 工作 重 内 的 工作 束 数 G): [5 本 | 
标准 字体 (A) | 宋体 圈 大 小 四 : [12 ~ 
默认 文件 位 置 四 ) [:\ 我 的 文档 
启动 时 打开 此 目录 中 的 所 有 文件 LL) [ 
用 户 名 吕 [微软 用 户 
[mE | 取消 


图 4.60 Excel 下 取消 “最 近 使 用 的 文件 列表 ” 


5. 宏 病 毒 防范 


Word 和 Excel 提供 了 对 宏 病 毒 的 警告 保 
护 ,用 户 可 以 选择 “工具 ”>“ 宏 ”一 “安全 性 ” 菜 
单 , 在 弹出 的 对 话 框 中 设置 各 种 安全 级 别 。 建 
议 设置 为 “高 或 “中 ”, 如 图 4. 61 所 示 。 使 禁 
止 非 可 靠 来 源 文档 中 宏 的 运行 ,或 在 运行 前 给 
出 警告 提示 ,让 用 户 选 择 运行 与 否 。 需 提醒 的 
是 这 样 做 只 能 从 一 定 程 度 上 预防 宏 病 毒 而 不 
能 杀毒 ,所 以 要 真正 杜绝 宏 病 毒 ,还 应 该 使 用 


Ez ) [可 生发 行商 避 
Ebest 
只 允许 运行 可 靠 来 源 签署 的 宏 ， 未 经 签署 的 宏 会 自动 取消 


日 中 ,您 可 以 迁 择 是 否 运 行 可 能 不 安全 的 宏 册 。 
人 〇 和 低 (不 建议 使 用 )。 您 格 不 委 保 护 ,而 某 些 宏 具 有 潜在 的 不 安全 


和 的 


Ca Ca | 
图 4.61 设置 安全 性 级 别 
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6. 突 发 事件 下 的 文档 保存 和 备份 

(1) 文档 自动 保存 

用 户 在 编辑 文档 时 , 当 编 辑 很 多 内 容 没 有 及 时 保存 ,或 因 其 他 事情 离开 机 器 ,或 在 机 器 
上 转 而 执行 其 他 操作 时 ,如 遇 到 突然 停电 或 非 正 常 关 机 等 突 发 事件 ,重启 机 器 后 原来 编辑 过 
的 内 容 可 能 就 会 丢失 或 部 分 损坏 。 可 利用 Word 和 Excel 提供 的 “自动 保存 ”功能 来 避免 这 


样 的 损失 。 
在 Word 环境 下 ,选择 “工具 ”一 “选项 ”一 “保存 ”菜单 , 勾 选 “自动 保存 时 间 间 隔 ” 复 选 


框 ,在 “分 钟 "文本 框 中 选 定 希望 自动 保存 的 时 间 间 隔 ( 如 8 分 钟 ), 如 图 4. 62 所 示 。 


问 提示 保存 文档 尿 性 怠 ) 
提示 保存 Nornul 模板 @) 

癌 充 保存 窗 体 域内 容 @@) 

回 嵌 入 语言 数据 QD 


口 在 网 六 或 1 上 存储 文件 的 志 地 副本 所 
回 自动 保存 时 间 间隔 G) < 
回 工 入 咎 能 标记 G) 
回 在 中 格 知 能 标记 存 为 XML 属性 思 ) 
默认 相 式 


将 Word 文件 保存 为 生 ) [Yera 文档 .doc) 
口 禁用 在 此 版 本 后 的 新 增 功能 4): 而 二 osoft Word 57 


ED Pe 
图 4.62 设置 Word 自动 保存 时 间 和 自动 备份 


在 Excel 环境 下 ,首先 单 击 “ 工 具 ” 菜 单 中 的 “加 载 宏 " 命 令 , 弹 出 “加 载 宏 " 对 话 框 ,在 “ 当 
前 加 载 宏 ” 列 表 框 中 找到 并 选中 “自动 保存 " 复 选 框 , 单 击 “ 确 定 ” 按 钮 返回 ; 然后 选择 “工具 ”一 
“选项 ”一 “保存 ”选项 ,选中 “保存 自动 恢复 信息 ,每 隔 " 复 选 框 ,在 “分 钟 ”文本 框 中 输入 希望 
Excel 自动 保存 工作 簿 的 时 间 间 隔 ( 如 7 分 钟 ), 如 图 4. 63 所 示 。 


自 定 义 序列 | 


视图 ”| 到 新 等 “| 纺 罗 | Ta 的 和 二 | 
图 表 |」 配色 国际 鲁 误 检查 。」 拼写 检查 | 安全 性 | 


CI 保存 自 ; 


动 恢复 信息 ， 每 隔 G) 
年 保 种 位置 全 


工作 乱 先 项 
口 蔡 用 自动 恢复 @) 


LE | 职 消 
图 4.63 设置 Excel 自动 保存 时 间 
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不 要 把 间隔 时 间 设 置 得 太 短 ,否则 频繁 地 保存 既 浪费 时 间 , 又 损伤 硬盘 ; 但 该 时 间 也 不 
能 设置 得 太 长 ,否则 就 起 不 到 保护 作用 了 。 设 置 好 后 ,再 碰 到 突 发 情况 ,文档 就 可 恢复 到 最 
后 一 次 保存 的 状态 。 

(2) 文档 备份 

Word 还 提供 了 文档 备份 功能 ,其 操作 过 程 为 : 选择 “工具 ”>“ 选 项 ”一 “保存” 菜单 中 的 
“保留 备份 ”选项 ,如 图 4. 62 所 示 。 这 样 ,在 将 当前 的 修改 内 容 保 存 到 原文 档 的 同时 ,还 保存 
到 备份 文件 中 。 如 在 Office XP 下 原文 件 名 为 “abcde”( 其 类 型 为 “Microsoft Word 文档 ”)， 
在 保存 原文 件 后 ,还 会 出 现 一 个 文件 名 为 “备份 属于 abcde” 的 文件 (其 类 型 为 “Microsoft 
Word 备份 文档 ”) 。 

Excel 也 提供 了 文档 自动 备份 功能 ,其 操作 过 程 为 : 在 选择 “开始 ”一 “另存 为 >“ 工具 ”一 
“常规 选项 "后 弹出 的 图 4. 48 窗口 中 , 勾 选 左上 角 的 “生成 备份 文件 " 复 选 框 , 单 击 “ 确 定 ” 按 
钮 。 这 样 就 可 以 在 文档 保存 目录 下 生成 一 个 备份 文件 。 


7. 为 文档 签名 


为 防止 编写 好 的 Word 文档 被 别人 进行 恶意 的 修改 ,可 对 其 进行 保密 设置 。 除 上 述 设 
置 “ 打 开 密 码 ” 外 ,还 可 以 使 用 数字 签名 对 其 进行 保护 。 用 户 可 选择 下 载 安 装 数字 签名 软件 
对 文档 进行 签名 ,onSign 就 是 一 款 优秀 的 、 通 过 运行 宏 为 Word 文档 添加 数字 签名 的 软件 。 
在 此 处 就 不 再 对 onSign 软件 的 下 载 、 安 装 及 应 用 方法 进行 介绍 了 ,用 户 可 参考 其 他 资料 。 
用 户 还 可 以 选择 利用 数字 证 书 方式 对 文档 进行 签名 ,参见 4.4.2 节 。 


8. Excel 文档 的 其 他 保护 措施 


(1) 保护 工作 每 结构 及 共享 

在 当前 工作 短 下 ,选择 “工具 ”一 “保护 ”>“ 保 护 工作 答 ” 命 令 ; 勾 选 “ 结 构 ” 项 , 单 击 “ 确 
定 ” 按 钮 后 即 可 保护 工作 竹 结 构 不 被 删除 移动 .隐藏 ,取消 隐藏 和 重 命 名 工作 表 , 并 且 不 可 
插入 新 的 工作 表 , 如 图 4. 64 所 示 。 若 勾 选 “窗口 ?项 并 确认 后 ,可 以 保护 工作 短 窗 口 不 被 移 
动 缩放、 隐藏 .取消 隐藏 或 关闭 。 

对 要 共享 的 工作 敌 , 如 果 要 对 工作 簿 中 的 修订 进行 跟踪 ,可 设置 保护 共享 工作 往 。 其 操 
作为 : 选择 “工具 ”一 “保护 ”>“ 保 护 共 享 工 作 簿 ”命令 , 勾 选 “以 追踪 修订 方式 共享 " 复 选 框 ， 
如 图 4. 65 所 示 。 如 果 需 要 其 他 用 户 先 提供 密码 才能 取消 共享 保护 和 冲突 日 志 , 则 需要 在 
“密码 "文本 框 中 输入 密码 。 如 果 工 作 簿 已 经 处 在 共享 状态 , 则 不 能 为 其 设置 密码 。 


图 4.64 Excel 保 护 工作 簿 设置 图 4.65 ”Excel 保护 共享 工作 德 设置 
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(2) 隐藏 工作 德 和 工作 表 

在 当前 工作 簿 下 ,选择 “窗口 ">“ 隐 藏 ” 命 令 , 可 以 把 当前 处 于 活动 状态 的 工作 簿 隐藏 起 
来 ; 如 果 要 取消 隐藏 ,可 执行 “窗口 >“ 取消 隐藏 "命令 ,然后 在 “取消 隐藏 ”窗口 中 选择 相应 
工作 德 即 可 。 

在 一 个 工作 德 中 有 多 个 工作 表 的 情况 下 ,可 在 当前 工作 表 下 ,选择 “格式 ”>“ 工 作 表 ”一 
“隐藏 ”命令 , 即 可 把 当前 的 活动 工作 表 隐 藏 起 来 ; 要 取消 工作 表 的 隐藏 时 ,选择 “格式 ”一 
“工作 表 ” 一 “取消 隐藏 "命令 ,然后 在 “取消 隐藏 "窗口 中 选择 相应 的 工作 表 即 可 。 

(3) 隐藏 工作 表 的 行 或 列 

如 果 在 打印 工作 表 时 不 希望 打印 某 行 或 某 列 ,或 者 不 希望 有 权 查 看 工作 表 的 人 看 到 某 
行 或 某 列 内 容 ,但 仍 需 保留 这 些 内 容 时 ,可 将 这 些 行 或 列 隐藏 起 来 ,需要 时 再 恢复 出 来 。 隐 
藏 Excel 工作 表 行 或 列 有 如 下 三 种 简单 方法 。 

@ 选 定 要 隐藏 的 行 ( 列 ) 并 右 击 之 ,在 出 现 的 快捷 菜单 中 选择 “隐藏 "命令 。 

@ 单 击 要 隐藏 行 ( 列 ) 中 的 任意 单元 格 ,选择 “格式 ”菜单 下 的 “ 行 "(* 列 ”) 一 “隐藏 "命令 。 

@ 将 鼠标 放 在 要 隐藏 行 ( 列 ) 号 码 的 下 ( 右 ) 侧 格 线 上 , 按 住 左 键 向 上 ( 左 ) 移 动 鼠 标 ,将 
行 ( 列 ) 宽 调整 为 0, 这 样 对 应 的 行 ( 列 ) 号 就 从 工作 表 中 自动 消失 ,起 到 隐藏 效果 。 

若 要 取消 隐藏 , 先 要 同时 选择 该 行 ( 列 ) 的 上 下 (左右 ) 相 邻 两 行 ( 列 ) ,或 者 选中 整个 工作 
表 , 再 选择 “格式 ”菜单 下 的 “ 行 "(* 列 ”) 一 “取消 隐藏 "命令 即 可 。 

(4) 对 单元 格 输入 信息 进行 有 效 性 设置 

在 当前 工作 表 下 ,首先 选 定 要 进行 有 效 性 检测 的 单元 格 或 单元 格 集合 ,然后 选择 “数据 ” 
菜单 中 的 “有 效 性 ?选项 ,弹出 如 图 4. 66 所 示 对 话 框 ; 再 分 别 对 “设置 ”标签 的 “有 效 性 条 
件 ”“ 输 入 信息 ”和 “出 错 警 告 ”标签 的 相关 项 进行 设 定 , 以 控制 输入 单元 格 的 信息 使 之 符合 
给 定 的 条 件 。 这 些 设 置 很 有 用 ,如 在 设计 Excel 时 ,可 做 到 不 允许 用 户 输入 负数 年 龄 .负数 
工资 ,以 及 个 数 、 人 数 次数 中 不 出 现 小 数 等 现象 。 


人 | 输入 信息 | 出 属 敬 罕 输 入 法 模式 | 
有 效 性 条 件 
区 许多 ) 


全 部 清除 C) 
图 4. 66 Excel 单元 格 有 效 性 设置 


侣 题 和 思考 是 
一 、 问 答题 


1. 简 述 密码 学 的 两 方面 含义 。 
2. 什么 是 加 密 、 解 密 、 密 钥 和 密码 算法 ? 
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. 一 般 的 密码 系统 由 哪 几 部 分 组 成 ? 

. 什么 是 分 组 密码 和 序列 密码 ? 

. 什么 是 移 位 密码 和 替代 密码 ? 举例 说 明 。 

. 简 述 对 称 密 钥 密 码 和 非 对 称 密 钥 密码 体制 及 其 特点 。 
. 简 述 数字 签名 的 概念 及 其 功能 。 

. 简 述 不 安全 的 口令 表现 。 如 何 保持 和 维护 口令 安全 ? 
. 简 述 数字 证 书 的 功能 和 应 用 。 

二 、 填空 题 

1. 把 明文 变换 成 密 文 的 过 程 叫 ( ); 解密 过 程 是 利用 解密 密 钥 ,对 ( ) 按 照 解密 
算法 规则 变换 ,得 到 ( ) 的 过 程 。 

2. 典型 的 对 称 密 钥 密码 算法 有 ( yd ) 和 ( ) 等 。 

3. 典型 的 非 对 称 密码 算法 有 ( ”)、( ”) 和 ( ) 等 ,它们 的 安全 性 都 是 基于 ( 。”)。 

4. 在 密码 算法 公开 的 情况 下 ,密码 系统 的 保密 强度 基本 上 取决 于 ( ) 

5. IDEA 是 ( ) 密 码 体制 的 算法 。 它 使 用 ( ) 位 密 钥 可 对 ( ) 位 的 分 组 进行 
加 密 和 解密 。 

6. 密码 学 包括 ( ) 和 ( ) 两 部 分 ,其 中 ( ) 研 究 的 是 通过 ( ) 来 改变 ( ) 
的 形式 ,使 得 编码 后 的 信息 除 ( ) 之 外 的 其 他 人 都 不 可 理解 ;( ) 研 究 的 是 如 何 ( 六 
恢复 被 隐藏 起 来 信息 的 ( 和 区 ) 是 实现 对 信息 加 密 的 ,( ) 是 实现 对 信息 解密 的 ， 
这 两 部 分 相辅相成 ,互相 促进 ,也 是 矛盾 的 两 个 方面 。 

7. 用 户 身份 验证 一 般 涉及 两 个 过 程 : ( ) 和 验证 。 验 证 是 指 ( ) ,验证 信息 一 般 
是 ( 

8. DES 的 加 密 算法 和 解密 算法 ( )。 

9. 对 称 加 密 体制 与 非 对 称 加 密 体制 相 比 具有 ( ) 的 优点 。 

10. PGP 使 用 混合 加 密 算法 , 它 是 由 一 个 对 称 加 密 算法 ( ) 和 一 个 非 对 称 加 密 算法 
( ) 实 现 数据 的 加 密 。PGP 软件 具有 ( ) 和 ( ) 两 种 功能 。 在 PGP 中 ,主要 使 用 
( ””) 算 法 对 数据 进行 加 密 ,使 用 ( ”) 算 法 对 密 钥 进行 加 密 。 它 不 但 可 以 对 用 户 的 ( )， 
以 防止 非 授权 者 阅读 ,还 能 对 邮件 进行 ( ) ,使 收 信人 确信 邮件 未 被 第 三 者 自 改 。 

11. 广泛 应 用 的 数字 签名 的 算法 主要 有 ( ys ) 和 ( ) 

12. 通过 数字 签名 和 数字 证 书 技术 可 实现 交易 的 ( ) 性 。 

13, 20 世纪 70 年 代 , 密 码 学 的 两 大 成 果 分 别 是 ( ) 和 ( )。 前 者 将 传统 的 密码 学 
发 展 到 了 一 个 新 的 高 度 , 后 者 的 提出 被 公认 为 是 实现 现代 密码 学 的 基石 。 这 两 大 成 果 已 成 
为 近代 ( ) 发 展 史 上 两 个 重要 的 里 程 碑 。 


CoN 人 ww 


三 、 单 项 选择 题 

1. 最 著名 、 应 用 最 广泛 的 非 对 称 密码 算法 是 ( ”). 它 的 安全 性 是 基于 大 整数 因子 分 
解 的 困难 性 。 

A. DES B. RSA C. 3DES D. DSA 

2. 最 典型 的 对 称 密 钥 密 码 算法 是 ( ”), 它 是 用 56 位 密 钥 对 64 位 明文 ( 密 文 ) 进 行 加 
密 (解密 ) 的 。 


A. DES B. RSA C. 3DES D. DSA 
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3. 在 加 密 时 将 明文 中 的 每 个 或 每 组 字符 由 另 一 个 或 男 一 组 字符 所 替换 , 原 字 符 被 隐藏 
起 来 ,这 种 密码 称 为 ( Ys 


A. 移 位 密码 B. 分 组 密码 C. 替代 密码 D. 序列 密码 

4. 如 果 加 密 密 钥 和 解密 密 钥 相同 或 相近 ,这 样 的 密码 系统 称 为 ( ) 系 统 。 
A. 对 称 密 钥 B. 非 对 称 密 钥 ” C. 公 钥 密码 D. 分 组 密码 

5. DES 算法 一 次 可 用 56 位 密 钥 组 把 ( ) 位 明文 (或 密 文 ) 组 数据 加 密 ( 或 解密 ) 。 
We B. 48 C. 64 D. 128 

6. 以 FC ) 项 要 求 不 是 数字 签名 技术 可 完成 的 目标 。 

A. 数据 保密 性  B. 信息 完整 性  C. 身份 验证 D. 防止 交易 抵赖 
7. 在 RSA 算法 中 , 取 密 钥 e=3,d 二 7, 则 明文 6 的 密 文 是 ( 

A. 18 B. 19 C. 20 D. 21 

8. 在 RSA 算法 中 , 取 密 钥 e= 二 3,d 二 7, 则 明文 4 的 密 文 是 ( he 

A. 28 B. 29 C. 30 BD. 31 

9. CA 认证 中 心 不 具 有 ( ) 功 能 。 

A. 证 书 的 颁发 。 B. 证 书 的 申请 。 C. 证 书 的 查询 D. 证 书 的 归档 


So 


.使 用 数字 证 书 可 实现 ( 中 
. 数据 加 密 B. 保护 信息 完整 C. 防止 交易 抵赖 ”D. A、B、C 都 对 

四 、 实 验 题 

1. PGP 软件 应 用 实验 : 下 载 . 安 装 PGP 软件 ,选择 密 钥 ; 用 PGP 软件 对 一 个 要 在 
Internet 上 传输 的 Word 文档 或 邮件 进行 加 密 、 签 名 ,再 进行 解密 、 验 证 。 

2. 对 称 数 据 加 密实 验 : 选 一 款 数 据 加 解密 软件 (如 DES、TDES 或 IDEA) ,下 载 安装 后 
运行 ; 对 自己 了 解 其 内 容 的 文件 进行 对 称 加 密 ; 加 密 后 浏览 加 密 文件 的 内 容 ; 再 对 加 密 文 
件 进 行 解密 (恢复 原文 件 ) 后 再 浏览 其 内 容 。 

3. 数字 签名 实验 : 在 某 网 站 上 申请 数字 证 书 , 并 使 用 其 对 文件 进行 数字 签名 。 

4. 文档 加 密实 验 : 对 编辑 好 的 Word 文件 和 Excel 文档 进行 加 密 和 解密 操作 。 


> 


软件 安全 技术 与 应 用 实践 


软件 安全 (software security) 就 是 使 软件 在 受到 恶意 攻击 的 情形 下 依然 能 够 继续 正确 
运行 的 工程 化 软件 思想 ,也 有 一 些 专 家 和 学 者 将 “软件 安全 ” 称 为 “软件 确保 ”。 


6.1 软件 安全 策略 


A 


5.1.1 软件 限制 策略 及 应 用 


在 企业 网 络 管理 中 ,可 利用 域 控制 器 实现 对 某 些 软 件 的 使 用 限制 。 当 用 户 利用 域 账户 
登录 到 工作 电脑 的 时 候 , 系 统 会 根据 这 个 域 账户 的 访问 权限 ,判断 其 是 否 有 某 个 应 用 软件 的 
使 用 权限 。 当 确定 其 没有 相关 权限 时 ,操作 系统 就 会 拒绝 用 户 访 问 该 应 用 软件 ,从 而 来 管理 
企业 员工 的 操作 行为 ,这 就 是 域 环境 中 的 软件 限制 策略 。 


1. 软件 限制 策略 原则 


(1) 应 用 软件 与 数据 文件 的 独立 原则 

在 使 用 软件 限制 策略 时 ,应 坚持 “应 用 软件 与 数据 文件 独立 ”的 原则 , 即 用 户 即 使 具有 数 
据 文件 的 访问 权限 ,但 若 没 有 其 关联 软件 的 访问 权限 ,仍然 不 能 打开 这 个 文件 。 比 如 某 个 用 
户 从 网 上 下 载 了 一 部 电影 ,虽然 他 作为 所 有 者 具有 对 该 数据 文件 进行 访问 的 权限 ,但 软件 限 
制 策略 限制 了 该 用 户 账户 对 任何 视频 播放 软件 都 无 法 访问 ,这 样 ,该 用 户 仍然 无 法 播放 这 部 
电影 。 

这 就 是 应 用 软件 与 数据 文件 独立 的 原则 ,该 原则 在 实际 应 用 中 非常 有 用 。 因 为 很 难 控 
制 用 户 从 网 络 上 下 载 文件 ,如 用 户 可 从 网 络 上 下 载 歌 曲 ,甚至 通过 UU 盘 等 移动 存储 介质 从 
企业 外 部 把 文件 复制 到 内 部 计算 机 中 ,这 些 行为 很 难 控制 。 但 是 可 以 做 到 对 用 户 的 应 用 程 
序 进行 控制 ,因为 只 需 把 这 些 应 用 程序 控制 好 ,即使 用 户 私自 下 载 了 受 限制 的 文件 ,用 户 最 
终 也 不 能 打开 它 。 

(2) 软件 限制 策略 的 冲突 处 理 原则 

软件 限制 策略 与 其 他 组 策略 一 样 , 可 以 在 多 个 级 别 上 进行 设置 , 即 可 将 软件 限制 策略 看 
成 是 组 策略 中 的 一 个 特殊 分 支 。 所 以 ,软件 限制 策略 可 以 在 本 地 计算 机 、 站 点 、 域 或 组 织 单 
元 等 多 个 环节 进行 设置 。 每 个 级 别 又 可 以 针对 用 户 与 计算 机 进行 设置 。 

当 在 各 个 设置 级 别 上 的 软件 限制 策略 发 生 冲 突 时 ,应 考虑 优先 性 问题 。 一 般 来 说 ,其 优 


第 5 章 软件 安全 技术 与 应 用 实践 


先 性 的 级 别 从 高 到 低 为 组 织 单元 策略 域 策略 、 站 点 策略 和 本 地 计算 机 策略 。 这 就 是 说 组 织 
单元 策略 要 比 域 策略 的 优先 级 高 。 如 在 域 策略 中 限制 用 户 使 用 视频 播放 器 ,而 在 一 个 组 织 
单元 中 可 允许 该 单元 中 的 账户 具有 视频 软件 的 访问 权限 ,即使 这 个 组 织 单元 在 这 个 域 中 ,只 
要 账户 属于 这 个 组 织 单元 , 则 其 仍然 可 以 使 用 视频 软件 。 

最 好 把 软件 限制 策略 设 定 在 域 中 与 组 织 单元 中 ,而 不 是 其 他 两 个 级 别 。 在 域 中 ,实现 一 
些 共 有 的 配置 ,如 限制 企业 员工 使 用 QQ 或 MSN 聊天 工具 等 。 而 在 组 织 单元 中 ,一 般 情况 
下 继承 域 的 相关 配置 ,这 样 就 可 以 保证 有 一 个 比较 统一 的 软件 权限 策略 管理 平台 。 若 设置 
级 别 太 多 ,特别 是 在 本 地 计算 机 上 配置 , 则 会 破坏 这 个 统一 平台 。 

(3) 软件 限制 的 规则 

默认 情况 下 ,软件 限制 策略 提供 了 不 受 限 的 和 不 允许 的 两 种 软件 限制 规则 。 

不 受 限 的 规则 规定 所 有 登录 的 用 户 都 可 以 运行 指定 的 软件 。 只 要 用 户 具 有 数据 文件 的 
访问 权限 ,就 可 以 利用 软件 打开 这 个 文件 。 因 此 ,应 用 软件 的 访问 权限 与 数据 文件 的 访问 权 
限 是 独立 的 。 用 户 只 具有 应 用 软件 或 数据 文件 的 访问 权限 往往 还 不 够 ,只 有 当 两 者 权限 都 
有 ,才能 够 打开 相关 的 文件 。 

不 允许 的 规则 规定 所 有 登录 系统 的 账户 都 不 能 运行 这 个 应 用 软件 ,无 论 其 是 否 对 数据 
文件 具有 访问 权限 。 

系统 默认 的 策略 是 所 有 软件 运行 都 是 不 受 限 的 , 即 只 要 用 户 对 于 数据 文件 有 访问 权限 ， 
就 可 以 运行 对 应 的 应 用 软件 。 


2. 软件 限制 策略 的 应 用 


企业 的 网 络 管理 员 一 般 都 遇 到 过 这 种 困扰 ,老板 不 希望 员工 在 工作 时 间 用 QQ 聊天 或 
玩 游 戏 , 但 总 有 员工 会 私下 安装 被 禁止 的 软件 。 如 果 使 用 监控 软件 进行 监视 ,这 样 就 有 侵犯 
隐私 之 嫌 ; 如 果 客 户 端 是 Windows XP Professional, 使 用 其 中 的 软件 限制 策略 即 可 达到 
目的 。 

简单 来 说 ,软件 限制 策略 是 一 种 技术 ,通过 这 种 技术 ,管理 员 可 以 决定 哪些 程序 是 可 信 
赖 的 ,哪些 是 不 可 信赖 的 。 对 于 不 可 信赖 的 程序 ,系统 会 拒绝 执行 。 通 常 ,管理 员 可 以 让 系 
统 使 用 文件 路 径 、 文 件 Hash 值 、 文 件 证 书 、 文 件 被 下 载 的 网 站 在 Internet 选项 中 的 区 域 、 特 
定 扩展 名 文件 ,以 及 其 他 强制 属性 等 方式 鉴别 软件 是 否 可 信赖 。 

软件 限制 策略 不 仅 可 以 在 单机 的 Windows XP 操作 系统 中 设置 ,还 可 以 通过 域 对 所 有 
加 入 该 域 的 客户 端 计算 机 进行 设置 .并 可 以 设置 影响 某 个 特定 用 户 或 用 户 组 ,或 所有 用 户 。 
另 一 方面 ,可 能 因为 错误 的 设置 而 导致 某 些 系统 组 件 无 法 运行 (如 禁止 运行 所 有 msc 后 级 
的 文件 而 无 法 打开 组 策略 编辑 器 ) ,这样 ,只 要 重新 启动 系统 到 安全 模式 ,然后 使 用 
Administrator 账号 登录 并 删除 或 修改 这 一 策略 即 可 。 因 为 安全 模式 下 使 用 Administrator 
账号 登录 是 不 受 这 些 策略 影响 的 。 现 以 单机 形式 进行 说 明 ,并 设置 影响 所 有 用 户 。 

假设 员工 的 计算 机 仅 可 运行 操作 系统 自 带 的 所 有 程序 (C 盘 ) 和 工作 所 必需 的 Word、 
Excel、PowerPoint 和 Outlook, 并 假设 Office 程序 安装 在 D 盘 , 员 工 电脑 的 操作 系统 为 
Windows XP Professional,。 

运行 Gpedit. msc 打开 组 策略 编辑 器 ,可 以 发 现 有 “计算 机 配置 "和 “用 户 设 置 " 条 目 , 如 
图 5. 1 所 示 。 如 果 和 希望 对 本 地 登录 到 计算 机 的 所 有 用 户 生效 , 则 使 用 "计算机 配置 ?下 的 策 
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略 ; 如 果 和 希望 对 某 个 特定 用 户 或 用 户 组 生效 , 则 使 用 "用户 配 置 * 下 的 策略 。 


| ETE TE 
条 十 | 名 | 困 | 本 国 国 


号 “本 地 计算 机 ” 策略 和 名称 3 
已 加 计生 二 不 允许 的 无 论 用 户 的 访问 机 如 何 ， 软件 都 不 会 运行 。 
田 -图 软件 设置 多 不 么 PR 的 黑 件 访问 权 由 用 户 的 沪 问 权 来 决定 


日 自 软件 限制 第 略 
安全 全 别 


名 
生 其 他 规则 
由 为 匡 安全 策略 , 在 | 


田 各 Windons 设置 
国 管理 模板 


图 5.1 设置 软件 限制 策略 


在 开始 配置 之 前 还 需 考虑 一 个 问题 , 即 所 允许 的 软件 都 有 哪些 特征 ,所 禁用 的 软件 又 有 
哪些 特征 。 用 户 应 设计 出 一 种 最 佳 的 策略 ,能 使 所 有 需要 的 软件 正确 运行 ,所 有 不 必要 的 软 
件 都 无 法 运行 。 本 例 中 假设 用 户 允 许 的 大 部 分 程序 都 位 于 系统 盘 (C 盘 ) 的 Program Files 
及 Windows 文件 夹 下 ,因此 可 以 通过 文件 所 在 路 径 的 方法 决定 哪些 程序 是 被 信任 的 。 而 对 
于 安装 在 D 盘 的 Office 程序 ,可 通过 任意 路 径 或 文件 Hash 值 的 方法 来 决定 。 

软件 限制 规则 的 简单 操作 步骤 如 下 : 

(1) 如 图 5. 1 所 示 , 单 击 " 计 算 机 配置 ”一 “Windows 设置 ”>“ 安 全 设置 ”>“ 软 件 限制 策 
咯 ” 项 ,在 “操作 ”菜单 下 选择 “创建 新 的 策略 "(在 Windows XP/SP1 上 ,默认 是 没有 任何 策 
略 的 ,但 对 于 Windows XP/SP2 系统 ,已 经 有 了 建 好 的 默认 策略 )。 系 统 将 会 创建 “安全 级 
别 " 和 “其 他 规则 ”两 个 新 条 目 , 其 中 在 安全 级 别 Er 
条 目下 有 “不 允许 的 "和 “不 受 限 的 ”两 条 规则 。 |[ 短 让 


前 者 明确 默认 情况 下 所 有 软件 都 不 允许 运行 ， 园 Farm 
只 有 特别 配置 过 的 少数 软件 才 可 以 运行 ; 而 后 | 
者 明确 默认 情况 下 所 有 软件 都 可 以 运行 ,只 有 | 尝 吕 


FeO A :软件 都 不 会 运行 。 


特别 配 置 过 的 少数 软件 才 被 禁止 运行 。 本 例 中 
需要 运行 的 软件 都 已 经 确定 ,因此 需要 使 用 “不 
允许 的 ”作为 默认 规则 。 双 击 “ 不 允许 的 ”或 右 
击 后 选择 “属性 ”, 然 后 单 击 “ 设 为 默认 ”按钮 ,如 
图 5. 2 所 示 ,并 在 同意 警告 信息 后 继续 。 

(2) 打开 * 其 他 规则 条目, 可 看 到 默认 情 
况 下 这 里 已 经 有 4 个 规则 ,都 是 根据 注册 表 路 
径 设置 的 , 且 默 认 都 设置 为 “不 受 限 的 ”, 如 
图 5. 3 所 示 。 不 要 修改 这 4 个 规则 ,和 否则 系统 图 5. 2 默认 “不 允许 的 ”规则 


运行 将 会 遇 到 麻烦 ,因为 这 4 个 路 径 都 涉及 重要 系统 程序 及 文件 所 在 的 位 置 。 同 时 ,位 于 
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系 


统 盘 下 Program Files 文件 夹 及 Windows 文件 夹 下 的 文件 是 允许 运行 的 ,而 这 4 条 默认 规 


则 已 经 包含 了 这 些 路 径 。 


文件 中 操作 查看 WW) 玫 助 o 
御 | 生 | 国 | 息 | 卓 区 | 加 国 


号 -二 地 计算 机 ”第 路 名 称 7 


加 计算 机 配置 


司 其 地 规则 
固 轧 IF 安全 策略 ,在 
由 - 轩 管理 模板 
日 翰 用 户 配置 
由 国 软件 设置 
由 - 轩 Windows 设置 
由 国 管理 模板 


NHKEY _LOCAL_MACHINE\SOFTWARE\Nicro. . 
HEKEY_LOCAL NACHINE\SOFTWARE\Mi ero. . 
XHKEY_LOCAL MACHINE\SOFTWARE\Mi ero. 


图 5.3 默认 的 “其 他 规则 ” 


(3) 右 击 右 侧 面板 的 空白 处 ,选择 “新 散 列 
规则 ”, 弹 出 如 图 5. 4 所 示 的 窗口 。 再 单 击 * 浏 
览 ? 按 钮 ,定位 所 有 允许 使 用 的 Office 程序 的 可 
执行 文件 ,并 双击 加 入 。 

(4) 在 “安全 级 别 " 下 拉 菜 单 下 双击 “不 受 
限 的 ”选项 , 单 击 “ 设 为 默认 值 * 一 “应 用 ”一 “ 确 
定 ” 按 钮 退出 。 这 样 ,就 完成 了 软件 的 可 执行 文 
件 均 为 不 受 限 的 设置 。 

此 外 ,根据 用 户 的 实际 情况 还 可 选择 使 用 
“强制 ?策略 和 ”指派 文件 类 型 策略。 强制 策略 
可 限定 软件 限制 策略 应 用 到 哪些 文件 以 及 是 否 
应 用 到 Administrator 账户 ; 指派 文件 类 型 策 
内 可 指定 具有 哪些 扩展 名 的 文件 可 以 被 系统 认 
为 是 可 执行 文件 ,可 以 添加 或 删除 某 种 类 型 扩 
展 名 的 文件 。 


新 数列 规则 
之 规 | 


用 规则 巷 代 对 认 安 全 弓 别 。 
单 击 “ 训 览 ” 未 过 稻 要 牙 列 的 立体 。 文 件 的 习性 ， 加 大 小 
ee + 会 被 自动 与 入 


图 5.4 添加 一 个 规则 


文件 数列 @) 
] ED 
文件 信息 @) 
安全 赢 别 个 )。 | 不 受 限 的 bd 
揣 术 ) 
[mm | WL 四 


当 软 件 显示 策略 设置 好 后 ,一 旦 被 限制 的 用 户 试图 运行 被 禁止 的 程序 ,那么 系统 将 会 立 


刻 发 出 警告 并 拒绝 执行 。 
5.1.2 TCP/IP 协议 的 安全 性 


TCP/IP 是 异 构 网 络 互 连 的 通信 协议 ,通过 它 可 实现 各 种 异 构 网 络 或 异种 机 之 间 的 互 
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连通 信 。TCP/IP 已 成 为 当今 计算 机 网 络 最 成 熟 \ 应 用 最 广 的 互 连 协 议 。Internet 采用 的 就 
是 TCP/IP 协议 ,该 协议 也 可 用 于 任何 其 他 网 络 , 如 局 域 网 ,以 支持 异种 机 的 连 网 或 异 构 型 
网 络 的 互 连 。 网 络 上 各 种 各 样 的 计算 机 上 只 要 安装 了 TCP/IP 协议 ,它们 之 间 就 能 相互 通 
信 。 运 行 TCP/IP 协议 的 网 络 是 一 种 采用 包 (分 组 ) 交 换 的 网 络 。 

TCP/IP 协议 是 由 100 多 个 协议 组 成 的 协议 集 ,TCP 和 IP 是 其 中 两 个 最 重要 的 协议 。 
TCP 和 IP 两 个 协议 分 别 属于 传输 层 和 网 络 层 , 在 Internet 中 起 着 不 同 的 作用 。 


1. TCP/IP 协议 的 层次 结构 及 主要 协议 


基于 TCP/IP 协议 的 网 络 体系 结构 比 OSI 参考 模型 结构 更 简单 。TCP/IP 协议 可 分 为 


4 层 ,分别 是 网 络 接口 层 、 网 络 层 (IP) 传输 层 (TCP) TCP/IP Osl 
和 应 用 层 , 如 图 5.5 所 示 。 应 用 层 
网 络 接口 层 负责 接收 IP 数据 报 ,并 把 这 些 数据 | Se 
报 发 送 到 指定 网 络 中 。 它 与 OSI 模型 中 的 数据 链 路 femBacm| 二 
层 和 物理 层 相对 应 。 一直 ------ 
网 络 层 要 解决 主机 到 主机 的 通信 问题 ,该 层 的 主 网 络 层 IP) | 网 络 层 
要 协议 有 IP 和 ICMP。IP 协议 是 Internet 中 的 基础 只 D 民 | ____ 数据 链 路 层 


协议 , 它 提供 了 不 可 靠 的 , 尽 最 大 努力 的 、 无 连接 的 数 图 5.5 TCP/IP 结构 与 OSI 结构 
据 报 传递 服务 。ICMP 是 一 种 面向 连接 的 协议 ,用 于 
传输 错误 报告 控制 信息 。 由 于 IP 协议 提供 了 无 连接 的 数据 报 传送 服务 ,在 传送 过 程 中 若 发 
生 差 错 或 意外 情况 则 无 法 处 理 数据 报 , 这 就 需要 ICMP 协议 来 向 源 节点 报告 差错 情况 ,以 便 
源 节点 对 此 做 出 相应 的 处 理 。 
传输 层 的 基本 任务 是 提供 应 用 程序 之 间 的 通信 ,这 种 通信 通常 称 为 端 到 端 通信 。 传 输 
层 可 提供 端 到 端 之 间 的 可 靠 传送 ,确保 数据 到 达 无 差错 ,不 乱 序 。 传 输 层 的 主要 协议 有 
TCP 和 UDP。TCP 协议 是 在 IP 协议 提供 的 服务 基础 上 ,支持 面向 连接 的 、 可 靠 的 传输 服 
务 。UDP(user data protocol) 协 议 是 直接 利用 IP 协议 进行 UDP 数据 报 的 传输 ,因此 UDP 
协议 提供 的 是 无 连接 ,不 保证 数据 完整 到 达 目 的 地 的 传输 服务 。 由 于 UDP 不 使 用 很 繁琐 
的 流 控 制 或 错误 恢复 机 制 , 只 充当 数据 报 的 发 送 者 和 接收 者 ,因此 ,UDP 比 TCP 简单 得 多 。 
应 用 层 为 协议 的 最 高 层 , 在 该 层 应 用 程序 与 协议 相互 配合 ,发 送 或 接收 数据 。TCP/IP 
协议 集 在 应 用 层 上 有 远程 登录 协议 (Telnet)、 文 件 传 输 协 议 (FTP)、 电 子 邮 件 协议 
(SMTP) ,域名 系统 CDNS) 等 ,它们 构成 了 TCP/IP 的 基本 应 用 程序 。 


2. TCP/IP 协议 安全 性 分 析 


TCP/IP 协议 本 身 也 存在 着 一 些 安全 性 问题 ,是 黑客 实施 网 络 攻击 的 重点 目标 。TCP/ 
IP 协议 是 建立 在 可 信和 环境 下 的 ,这 种 基于 地 址 的 协议 本 身 就 存在 泄露 口令 ,经 常会 运行 一 
些 无 关 程序 等 缺陷 。 互 联网 技术 屏蔽 了 底层 网 络 硬件 细节 ,使 得 异种 网 络 之 间 可 以 互相 通 
信 。 这 就 给 黑客 攻击 网 络 以 可 乘 之 机 。 由 于 大 量 重要 的 应 用 程序 都 以 TCP 作为 它们 的 传 
输 层 协议 ,因此 TCP 的 安全 性 问题 会 对 网 络 带 来 很 大 影响 。 

(1) TCP 协议 

TCP 使 用 三 次 握手 机 制 建立 一 条 连接 。 攻 击 者 可 利用 这 三 次 握手 过 程 建立 有 利于 自 
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己 的 连接 (破坏 原 连接 ) , 若 他 们 再 趁机 插入 有 害 数 据 包 , 则 后 果 更 严重 。 

TCP 协议 把 通过 连接 而 传输 的 数据 看 成 是 字 节 流 , 用 一 个 32 位 整数 对 传送 的 字 节 编 
号 。 初 始 序列 号 (ISN) 在 TCP 握手 时 产生 ,产生 机 制 与 协议 实现 有 关 。 攻 击 者 只 要 向 目标 
主机 发 送 一 个 连接 请 求 , 即 可 获得 上 次 连接 的 ISN ,再 通过 多 次 测量 来 回 传输 路 径 , 得 到 进 
攻 主 机 到 目标 主机 之 间 数 据 包 传送 的 来 回 时 间 (RTT)。 已 知 上 次 连接 的 ISN 和 RTT, 很 
容易 就 能 预测 下 一 次 连接 的 ISN。 若 攻击 者 假冒 信任 主机 向 目标 主机 发 出 TCP 连接 ,并 预 
测 到 目标 主机 的 TCP 序列 号 ,攻击 者 就 能 伪造 有 害 数据 包 , 使 之 被 目标 主机 接受 。 

(2) IP 协议 和 ICMP 协议 

IP 协议 提供 无 连接 的 数据 包 传输 机 制 , 其 主要 功能 有 寻 址 、 路 由 选择 、 分 段 和 组 装 。 传 
输 层 把 报 文 分 成 若干 个 数据 包 , 每 个 包 在 网 关中 进行 路 由 选择 ,穿越 一 个 个 物理 网 络 从 源 主 
机 到 达 目 标 主机 。 在 传输 过 程 中 每 个 数据 包 可 能 被 分 成 若干 小 段 ,以 满足 物理 网 络 中 最 大 
传输 单元 长 度 的 要 求 , 每 一 小 段 都 作为 一 个 独立 的 数据 包 被 传输 ,其 中 只 有 第 一 个 数据 包含 
有 TCP 层 的 端口 信息 。 在 包 过 滤 防 火 墙 中 根据 数据 包 的 端口 号 检查 是 否 合法 ,这 样 后 续 数 
据 包 就 可 以 不 经 检查 而 直接 通过 。 攻 击 者 若 发 送 一 系列 有 意 设置 的 数据 包 , 以 非法 端口 号 
为 数据 的 后 续 数 据 包 覆 盖 前 面 的 具有 合法 端口 号 的 数据 包 , 那 么 该 路 由 器 防火 墙 上 的 过 滤 
规则 被 劳 路 ,从 而 攻击 者 便 达 到 了 进攻 目的 。 

IPv6 设计 的 两 种 安全 机 制 被 加 进 了 IPv4 ,其 中 一 种 称 为 AH(authentication header) 机 
制 ,提供 验证 和 完整 性 服务 ,但 不 提供 保密 服务 ; 另 一 种 称 为 ESP(encapsulation security 
payload) 机 制 ,提供 完整 性 服务 .验证 服务 及 保密 服务 。 

ICMP 是 在 网 络 层 中 与 IP 一 起 使 用 的 协议 。 如 果 一 个 网 关 不 为 IP 分 组 选择 路 由 、 不 
能 递交 IP 分 组 或 测试 到 某 种 不 正常 状态 ,如 网 络 拥挤 影响 IP 分 组 的 传递 ,那么 就 需要 
ICMP 来 通知 源 端 主机 采取 措施 ,避免 或 纠正 这 些 问题 。ICMP 被 认为 是 IP 协议 不 可 缺少 
的 组 成 部 分 ,是 IP 协议 正常 工作 的 辅助 协议 。 

ICMP 协议 存在 的 安全 问题 有 : 攻击 者 可 利用 ICMP 重 定向 报 文 破坏 路 由 ,并 以 此 增 
强 其 窃听 能 力 ; 攻击 者 可 利用 不 可 达 报 文 对 某 用 户 节点 发 起 拒绝 服务 攻击 。 


3. TCP/IP 层次 安全 


TCP/IP 的 层次 不 同 提供 的 安全 性 也 不 同 。 例 如 ,在 网 络 层 提供 虚拟 专用 网 络 (VPN)， 
在 传输 层 提供 安全 套 接 层 (SSL) 服 务 等 。 

(1) 网 络 接口 层 安全 

网 络 接口 层 与 OSI 模型 中 的 数据 链 路 层 和 物理 层 相对 应 。 物 理 层 安全 主要 是 保护 物 
理 线路 的 安全 ,如 保护 物理 线路 不 被 损坏 .防止 线路 的 搭 线 窃听 减少 或 避免 对 物理 线路 的 
干扰 等 。 数 据 链 路 层 安 全 主要 是 保证 链 路 上 传输 的 信息 不 出 现 差 错 , 保 护 数据 传输 通路 畅 
通 ,保护 链 路 数据 帧 不 被 截 收 等 。 

网 络 接口 层 安全 一 般 可 以 达到 点 对 点 间 较 强 的 身份 验证 、 保 密 性 和 连续 的 信道 认证 ,在 
大 多 数 情况 下 也 可 以 保证 数据 流 的 安全 。 有 些 安全 服务 可 以 提供 数据 的 完整 性 或 至 少 具 有 
防止 欺骗 的 能 力 。 

(2) 网 络 层 的 安全 

网 络 层 安 全 主要 是 基于 以 下 几 点 考虑 。 
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Q@ 控制 不 同 的 访问 者 对 网 络 和 设备 的 访问 。 

@ 划分 并 隔离 不 同安 全 域 。 

@ 防止 内 部 访问 者 对 无 权 访问 区 域 的 访问 和 误 操 作 。 

IP 分 组 是 一 种 面向 协议 的 无 连接 的 数据 包 , 不 同 于 WAN 中 使 用 的 其 他 技术 ,因此 要 
对 其 施 以 安全 保护 。IP 包 是 可 共享 的 ,用 户 间 的 数据 在 子 网 中 要 经 过 很 多 节点 进行 传输 。 
从 安全 角度 讲 , 网 络 组 件 对 下 一 个 邻近 节点 并 不 了 解 。 因 为 每 个 数据 包 可 能 来 自 网 络 中 的 
任何 地 方 ,因此 如 认证 ,访问 控制 等 安全 服务 必须 在 每 个 包 基础 上 执行 。 又 由 于 IP 包 的 长 
度 不 同 ,可 能 要 考虑 每 个 数据 包 以 获得 与 安全 相关 的 信息 。 

国际 上 有 关 组 织 已 经 提出 了 一 些 对 网 络 层 安全 协议 进行 标准 化 的 方案 ,如 安全 协议 3 
号 (SP3) 就 是 美国 国家 安全 局 以 及 标准 技术 协会 作为 安全 数据 网 络 系 统 (SDNS) 的 一 部 分 
而 制定 的 ,网 络 层 安全 协议 (NLSP) 是 由 ISO 为 无 连接 网 络 协议 (CLNP) 制 定 的 安全 协议 标 
准 。 事 实 上 ,这 些 安全 协议 都 使 用 IP 封装 技术 。IP 封装 技术 将 纯 文本 的 包 加 密 , 封 装 在 外 
层 IP 报头 里 , 当 这 些 包 到 达 另 一 端 时 ,外 层 的 IP 报头 被 拆 开 , 报 文 被 解密 ,然后 交付 给 收 端 
用 户 。 网 络 层 安 全 协议 可 用 来 在 Internet 上 建立 安全 的 IP 通道 和 虚拟 专用 网 。 其 本 质 是 : 
纯 文本 的 包 被 加 密 ,封装 在 外 层 的 IP 报头 里 ,用 来 对 加 密 包 进 行 Internet 上 的 路 由 选择 ; 
到 达 另 一 端 时 ,外 层 的 IP 报头 被 拆 开 , 报 文 被 解密 ,然后 送 到 收报 地 点 。 

网 络 层 安全 性 的 主要 优点 是 它 的 透明 性 , 即 安全 服务 的 提供 不 需要 对 应 用 程序 .其 他 通 
信 层 次 和 网 络 部 件 做 任何 改动 。 主 要 缺点 是 网 络 层 一 般 对 属于 不 同 进程 和 相应 条 例 的 包 不 
做 区 别 。 对 所 有 去 往 同 一 地 址 的 包 , 它 将 按照 同样 的 加 密 密 钥 和 访问 控制 策略 来 处 理 。 

简 言 之 ,网 络 层 非常 适合 提供 基于 主机 对 主机 的 安全 服务 。 相 应 的 安全 协议 可 用 来 在 
Internet 上 建立 安全 的 IP 通道 和 VPN。 

(3) 传输 层 的 安全 

由 于 TCP/IP 协议 本 身 很 简单 ,没有 加 密 、 身 份 验证 等 安全 特性 ,因此 必须 在 传输 层 建 
立 安全 通信 机 制 ,为 应 用 层 提 供 安全 保护 。 传 输 层 网 关 在 两 个 节点 之 间 代 为 传递 TCP 连接 
并 进行 控制 。 常 见 的 传输 层 安 全 技术 有 SSL .SOCKS 和 PCT 等 。 

在 Internet 中 提供 安全 服务 的 一 个 想法 就 是 强化 它 的 IPC 界面 。 具 体 做 法 包括 双 端 实 
体 的 认证 数据 加 密 密 钥 的 交换 等 。Netscape 通信 公司 遵循 了 这 个 思路 ,制定 了 建立 在 可 
靠 的 传输 服务 基础 上 的 安全 套 接 层 (SSL) 协议 。 

与 网 络 层 安全 机 制 相 比 ,传输 层 安 全 机 制 的 主要 优点 是 提供 基于 进程 对 进程 的 安全 服 
务 。 这 一 成 就 如 果 再 加 上 应 用 级 的 安全 服务 ,就 可 以 再 向 前 跨越 一 大 步 。 原 则 上 ,任何 
TCP/IP 应 用 ,只 要 应 用 传输 层 安 全 协议 ,就 必定 要 进行 若干 修改 以 增加 相应 的 功能 ,并 使 
用 不 同 的 IPC 界面 。 传 输 层 安全 机 制 就 是 要 对 传输 层 IPC 界面 和 应 用 程序 两 端 都 进行 修 
改 。 另 外 ,基于 UDP 的 通信 很 难 在 传输 层 建立 起 安全 机 制 。 网 络 层 安 全 机 制 的 透明 性 使 
安全 服务 的 提供 不 要 求 应 用 层 做 任何 改变 ,这 对 传输 层 来 说 是 做 不 到 的 。 

(4) 应 用 层 的 安全 

网 络 层 /传输 层 的 安全 协议 允许 为 主机 /进程 之 间 的 数据 通道 增加 安全 属性 。 本 质 上 ， 
这 意味 着 真正 的 数据 通道 还 是 建立 在 主机 或 进程 之 间 , 但 却 不 能 区 分 在 同一 通道 上 传输 的 
一 个 具体 文件 的 安全 性 要 求 。 比 如 说 ,如 果 一 个 主机 与 男 一 个 主机 之 间 建 立 起 一 条 安全 的 
IP 通道 ,那么 所 有 在 这 条 通道 上 传输 的 IP 包 都 自动 地 被 加 密 。 同 样 ,如 果 一 个 进程 和 另 一 
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个 进程 之 间 通 过 传输 层 安全 协议 建立 起 一 条 安全 的 数据 通道 ,那么 两 个 进程 间 传 输 的 所 有 
消息 就 都 要 自动 地 被 加 密 。 

如 果 确 实 想 要 区 分 一 个 具体 文件 的 不 同安 全 性 要 求 ,就 必须 借助 于 应 用 层 的 安全 性 。 
提供 应 用 层 的 安全 服务 实际 上 是 最 灵活 的 处 理 单个 文件 安全 性 的 手段 。 例 如 ,一 个 电子 邮 
件 系统 可 能 需要 对 要 发 出 信件 的 个 别 段落 实施 数据 签名 。 较 低层 的 协议 提供 的 安全 功能 一 
般 不 会 知道 任何 要 发 出 的 信件 的 段落 结构 ,从 而 不 可 能 知道 该 对 哪 一 部 分 进行 签名 。 只 有 
应 用 层 能 够 唯一 提供 这 种 安全 服务 。 

应 用 层 提 供 的 安全 服务 ,通常 都 是 对 每 个 应 用 (包括 应 用 协议 ) 分 别 进 行 修改 和 扩充 ,加 
入 新 的 安全 功能 。 现 已 实现 的 TCP/IP 应 用 层 的 安全 措施 有 : 基于 信用 卡 安全 交易 服务 的 
安全 电子 交易 (SET) 协 议 ,基于 信用 卡 提 供电 子 商务 安全 应 用 的 安全 电子 付费 协议 
(SEPP) ,基于 SMTP 提供 电子 邮件 安全 服务 的 私 用 强化 邮件 (PEM) ,基于 HTTP 协议 提 
供 Web 安全 使 用 的 安全 性 超 文本 传输 协议 (SHTTP) 等 。 


€.3 加 密 文件 系统 


5.2.1 EFS 软件 


加 密 文件 系统 (encrypting file system,EFS) 是 Windows 文件 系统 的 内 置 文件 加 密 工 
具 , 它 以 公共 密 钥 加 密 为 基础 ,使 用 CryptoAPI 架构 ,提供 一 种 透明 的 文件 加 密 服 务 。 
Windows 2000/XP/2003 都 配备 了 EFS。EFS 可 对 存储 在 NTFS 磁盘 卷 上 的 文件 和 文件 
夹 执行 加 密 操作 。 对 于 NTFS 卷 上 的 文件 和 数据 ,都 可 以 直接 被 操作 系统 加 密 保存 ,这 在 
很 大 程度 上 提高 了 数据 的 安全 性 。 

在 使 用 EFS 加 密 一 个 文件 或 文件 夹 时 ,系统 首先 会 生成 一 个 由 伪 随机 数组 成 的 FEK 
(文件 加 密 密 钥 ) ,然后 利用 FEK 和 数据 扩展 标准 X 算 法 创建 加 密 文件 ,并 把 它 存储 到 硬盘 
上 ,同时 删除 未 加 密 的 源 文件 。 随 后 系统 利用 用 户 的 公 钥 加 密 FEK ,并 把 加 密 后 的 FEK 存 
储 在 同一 个 加 密 文 件 中 。 当 用 户 访问 被 加 密 的 文件 时 ,系统 首先 利用 用 户 的 私 钥 解密 
FEK ,然后 利用 FEK 解密 原 加 密 文件 。 在 首次 使 用 EFS 时 ,如 果 用 户 还 没有 公 钥 / 私 钥 对 
(统称 为 密 钥 ) , 则 会 首先 生成 密 钥 ,然后 再 加 密 数据 。EFS 加 密 文件 的 时 候 , 使 用 对 该 文件 
唯一 的 对 称 加 密 密 钥 ,并 使 用 文件 拥有 者 EFS 证 书 中 的 公 钥 对 这 些 对 称 加 密 密 钥 进行 加 
密 。 因 为 只 有 文件 的 拥有 者 才能 使 用 密 钥 对 中 的 私 钥 ,所 以 也 只 有 他 才能 解密 密 钥 和 文件 。 

EFS 加 密 系统 对 用 户 是 透明 的 , 即 如 果 用 户 加 密 了 一 些 数据 ,那么 他 对 这 些 数据 的 访 
问 将 是 完全 人 允许 的 ,并 不 会 受到 任何 限制 。 如 果 用 户 持 有 一 个 已 加 密 NTFS 文件 的 私 钥 ， 
那么 他 就 能 够 打开 这 个 文件 ,并 透明 地 将 该 文件 作为 普通 文档 使 用 。 而 其 他 非 授权 用 户 试 
图 访问 加 密 过 的 数据 时 ,就 会 收 到 “访问 拒绝 ”的 提示 。 这 说 明 非 授权 用 户 无 法 访问 经 过 
EFS 加 密 后 的 文件 。 即 使 是 有 权 访 问 计算 机 及 其 文件 系统 的 用 户 ,也 无 法 读 取 这 些 加 密 
数据 。 

当 使 用 EFS 对 NTFS 文件 系统 的 文件 或 文件 夹 进行 安全 处 理 时 ,操作 系统 将 使 用 
CryptoAPI 所 提供 的 公 钥 和 对 称 密 钥 加 密 算法 对 文件 或 文件 夹 进行 加 密 。EFS 作为 操作 
系统 级 的 安全 服务 ,内 部 实现 机 制 非常 复杂 ,但 管理 员 和 用 户 使 用 起 来 却 非常 简单 。EFS 
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加 密 的 用 户 验 证 过 程 是 在 登录 Windows 时 进行 的 ,只 要 登录 到 Windows, 就 可 以 打开 任何 
一 个 被 授权 的 加 密 文 件 ,而 并 不 像 第 三 方 加 密 软 件 那样 在 每 次 存 取 时 都 要 求 输入 密码 。 

当 保 存 文件 时 EFS 将 自动 对 文件 进行 加 密 , 当 用 户 重 新 打开 文件 时 系统 将 对 文件 进行 
自动 解密 。 除 加 密 文 件 的 用 户 和 具有 EFS 文件 恢复 证 书 的 管理 员 之 外 ,没有 人 可 以 读 写 经 
过 加 密 处 理 的 文件 或 文件 夹 。 因 为 加 密 机 制 建立 在 文件 系统 内 部 , 它 对 用 户 的 操作 是 透明 
的 ,而 对 攻击 者 来 说 却 是 加 密 的 。 

如 果 把 未 加 密 的 文件 复制 到 经 过 加 密 的 文件 夹 中 ,那么 这 些 文件 将 会 被 自动 加 密 。 若 
想 将 加 密 文 件 移出 来 ,如 果 移 动 到 NTFS 分 区 上 ,文件 依旧 保持 加 密 属 性 。 

在 Windows 系统 中 ,每 一 个 用 户 都 有 一 个 SID( 安 全 标识 符 ) 以 区 分 各 自 的 身份 ,每 个 
人 的 SID 都 不 相同 且 是 唯一 的 (SID 可 类 似 人 的 指纹 )。 因 为 理论 上 没有 SID 相同 的 用 户 ， 
因而 用 户 的 密 钥 也 就 绝 不 会 相同 。 在 第 一 次 加 密 数据 时 ,操作 系统 就 会 根据 加 密 者 的 SID 
生成 该 用 户 的 密 钥 ,并 把 公 钥 和 私 钥 分 开 保存 起 来 ,供用 户 加 密 和 解密 数据 。 这 一 切 可 保证 
EFS 机 制 的 可 靠 性 。 

在 某 些 情况 下 会 发 生 诸 如 用 户 私 钥 丢 失 或 雇员 离开 公司 等 突 发 事件 时 ,EFS 提供 了 一 
种 恢复 代理 机 制 ,可 以 恢复 经 EFS 加 密 的 文件 信息 。 当 使 用 EFS 时 ,系统 将 自动 创建 一 个 
独立 的 恢复 密 钥 对 ,并 存储 在 管理 员 EFS 文件 恢复 证 书 中 。 恢 复 密 钥 对 的 公 钥 用 于 加 密 原 
始 的 加 密 密 钥 ,并 在 紧急 情况 下 使 用 私 钥 来 恢复 加 密 文件 的 密 钥 ,从 而 恢复 经 过 加 密 的 文 
件 。Windows 2000 系统 在 单机 和 工作 组 环境 下 ,默认 的 恢复 代理 是 Administrator; 
Windows XP 系统 在 单机 和 工作 组 环境 下 没有 默认 的 恢复 代理 ; 而 在 域 环境 中 所 有 加 入 域 
的 Windows 2000/XP 计算 机 ,默认 的 恢复 代理 全 部 是 域 管理 员 。 这 一 切 又 可 保证 被 加 密 数 
据 的 安全 性 。 

使 用 EFS 加 密 功 能 要 保证 两 个 条 件 , 第 一 要 保证 操作 系统 是 Windows 2000/XP/ 
2003 ,第 二 要 保证 文件 所 在 的 分 区 格式 是 NTFS 格式 (FAT32 分 区 里 的 数据 是 无 法 加 密 的 ; 
如 果 要 使 用 EFS 对 其 进行 加 密 ,就 必须 将 FAT32 格式 转换 为 NTFS) 。 

值得 注意 的 是 ,被 EFS 加 密 的 数据 也 不 是 绝对 安全 的 ,如 果 没 有 合适 的 密 钥 ,虽然 无 法 
打开 被 EFS 加 密 过 的 文件 ,但 仍 可 以 将 其 删除 。 所 以 对 于 重要 文件 ,最 佳 的 做 法 是 综合 使 
用 NTFS 权限 和 EFS 加 密 两 项 安全 措施 。 这 样 ,如 果 非 法 用 户 没 有 合适 的 权限 ,将 不 能 访 
问 受 保护 的 文件 和 文件 夹 , 因 此 也 就 不 能 删除 文件 了 ; 而 有 些 用 户 即 使 拥有 权限 ,没有 密 钥 
同样 还 是 打 不 开 加 密 数据 。 

NTFS 分 区 上 保存 的 数据 还 可 以 被 压缩 ,但 是 一 个 文件 不 能 同时 被 压缩 和 加 密 。 
Windows 的 系统 文件 和 系统 文件 夹 无 法 被 加 密 。 

综 上 所 述 ,可 概括 EFS 系统 具有 如 下 特性 。 

(1) 用 户 加 密 或 解密 文件 或 文件 夹 很 方便 ,访问 加 密 文件 简单 容易 。 

(2) EFS 加 密 系 统 对 用 户 是 透明 的 。 

(3) 加 密 后 的 数据 无 论 怎样 移动 都 保持 加 密 状 态 。 

(4) EFS 加 密 机 制 和 操作 系统 紧密 结合 ,用 户 不 必 为 加 密 数 据 安装 额外 软件 ,可 节约 使 
用 成 本 。 

(5) EFS 与 NTFS 紧密 地 结合 在 一 起 。 

(6) 通过 EFS 加 密 敏感 性 文件 ,会 增加 更 多 层级 的 安全 性 防护 。 
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5.2.2 EFS 加 密 和 解密 应 用 实践 
1. EFS 加 密 和 解密 操作 
(1) EFS 加 密 文件 或 文件 夹 


如 要 对 C 盘 下 的 abc 文件 夹 进行 EFS 加 密 ， 四 村 富 习 区 
其 操作 过 程 如 下 (注意 ; EFS 加 密 只 在 NTFS 文 |[ 宙 BJ 
件 系统 上 才 有 效 ) : 自 ”区 


第 1 步 : 右 击 要 加 密 的 文件 夹 ,选择 "属性 ” || 翅 ”ix 
选项 ,弹出 如 图 5. 6 所 示 该 文件 夹 的 属性 窗口 。 全 es 
第 2 步 : 在 “属性 ”窗口 中 单 击 “ 高 级 ”按钮 ,在 上 宝 呈 5 


占用 空间 : 。 320 了 B (327, 680 字 节 ) 


弹出 的 “高 级 属性 ”窗口 中 选择 “加 密 内 容 以 便 保护 | as 5 个 文件 ，3 个 文件 到 


数据 ?选项 ,如 图 5.7 所 示 , 单 击 “ 确 定 ” 按 钮 。 创 浊 时 间 : 。 2009 年 8 月 2 日 ，10:01:27 
第 3 步 : 在 随后 的 属性 窗口 中 单 击 “ 应 用 ” 按 || 三， 回 R 迁 四 [NT] 
钮 ,弹出 “确认 属性 更 改 ” 对 话 框 ,如 图 5.8 所 示 。 四 本 地 


如 选择 * 仅 将 更 改 应 用 于 该 文件 夹 "系统 将 只 对 
文件 来 加 密 ,文件 夹 里 面 已 有 的 内 容 并 没 被 加 
密 ,但 是 此 后 在 文件 夹 中 创建 的 文件 或 文件 夹 将 i 
被 加 密 ; 如 选择 * 将 更 改 应 用 于 该 文件 夹子 文件 
夹 和 文件 ”, 文 件 夹 内 部 的 所 有 内 容 均 被 加 密 。 图 5.6 加 窗 文 件 夹 属性 


应 用 以 


高 级 其 性 了 区 


[有 这 择 用 于 该 文件 天 的 设置， 
”这 此 更 汉 Rj 应 用 于 祖 这 民 性 更 改 
存档 和 编制 案 引 司 性 
口 可 以 存档 文件 夹 和 ) 加 客 
回 为 了 快速 搜索 ,允许 案 引 服 务 编制 六 文件 夫 的 索引 了 ) 

压 连 或 加 密 属 性 

口 压缩 内 容 以 便 节省 磁盘 空间 避 ) 
[i 说 织 信 息 DJ) 


[mmm ED 


只 将 该 更 改 应 用 于 该 文件 夷 ,还 是 同时 应 用 于 所 有 子 文件 夹 和 文件 ? 


图 5.7 “高 级 属性 "窗口 图 5.8 “确认 属性 更 改 ” 窗 口 


第 4 步 : 单 击 “ 确 定 ” 按 钮 ,完成 加 密 操作 。 

现在 有 了 一 个 被 EFS 加 密 过 的 文件 夹 , 以 后 如 果 用 户 要 对 某 个 文件 或 文件 夹 进 行 EFS 
加 密 , 也 可 以 把 它们 移 到 该 文件 夹 中 ,这 样 这 些 文件 或 文件 夹 就 会 被 自动 加 密 。 

(2) 密 钥 备份 和 解密 文件 /文件 夹 

EFS 加 密 操作 虽然 简单 ,但 是 如 果 用 户 重 装 了 系统 ,此 后 即使 再 利用 原来 的 用 户 名 和 
密码 ,也 无 法 打开 EFS 加 密 过 的 文件 或 文件 夹 。 这 是 因为 加 密 时 的 密 钥 信息 保存 在 原 系统 
中 , 重 装 系统 后 原 密 钥 信 息 丢 失 。 因 此 用 户 在 加 密 时 应 该 及 时 备份 密 钥 ,这 样 以 后 即使 重 装 
系统 ,也 可 利用 备份 密 钥 打开 加 密 文件 或 文件 夹 。 
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在 Windows XP 中 ,备份 密 钥 的 操作 过 程 如 下 : 

第 1 步 : 单 击 * 开 始 " 一 “运行 ”命令 ,输入 "certmgr. msc” 并 按 回 车 键 ,打开 证 书 管理 器 
( 密 钥 的 导出 和 导入 工作 都 将 在 这 里 进行 ) 。 

第 2 步 : 选择 “当前 用 户 ” 一 “个 人 ”一 “证 书 ” 菜 单 ,可 以 看 见 一 个 与 用 户 名 同名 的 证 书 
(如 果 用 户 还 没有 加 密 任何 数据 ,这 里 是 不 会 有 证 书 的 )。 假 如 有 多 份 证 书 , 可 选择 “预期 目 
的 ”为 “加 密 文件 系统 ”的 那 份 证 书 。 

第 3 步 : 右 击 “证 书 ” 选 项 ,选择 “所 有 任务 ”>“ 导 出 ”菜单 ,如 图 5. 9 所 示 , 于 是 就 会 弹 
出 一 个 如 图 5. 10 所 示 的 “证 书 导出 向 导 ” 窗 口 。 


文件 时 ) 操作 由 ) 查看 Y) 帮助 ap 
中 + 白 回 多 昌 |X 甸 图 国 


了 REED 人 3 Er 
各 个 人 Admin a Adninistrator 2109-7-6 
i 打开 

-四 和 信任 的 人 下 书 有 机 榴 ER 


国 入 
由 - 轩 中 明证 书 俩 发 机 构 ee 
由 国 Aetive Direetery 用 户 对 象 OD 用 新 密 铜 申请 证 书 


由 复制 ) 用 相同 密 钥 申请 证 书 
和 出 附中 用 新 密 负 绪 订 证 书 
由 - 轩 第 三 方 根 证 书 颁 发 机 构 属性 8) 用 相同 密 钥 续 订 证 书 ， 


由 -入 受信 任 人 
| 帮助 0 


图 5.9 选择 个 人 证 书 


欢迎 使 用 证 书 导出 向 导 

ai 
由 证 书 颁发 1 证 书 是 确 件 ， 
人 


要 继续 ， 请 单 击 “ 下 一 步 ”。 


上 一 步 @ 
图 5.10 证 书 导 出 向 导 


第 4 步 : 单 击 * 下 一 步 ? 按 钮 ,弹出 如 图 5. 11 所 示 的 导出 密 钥 窗口 ,在 向 导 中 会 询问 用 
户 是 否 导 出 私 钥 。 在 这 里 要 选择 是 ,导出 私 钥 ” 按钮 。 
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导出 琢 铀 
您 可 以 选择 格 私 铀 跟 证 书 一 起 导出 


ER 加 果 要 将 私 钥 限 证 书 一 起 导出 ， 悠 必须 在 后 面 一 页 上 键入 密 


要 格 私 名 限 证 书 一 起 导出 吗 ? 
加 荐 ,各 出 私 销 吕 
〇 不 ,不 要 导出 和 家 @@ 


图 5.11 导出 证 书 密 钥 


第 5 步 : 单 击 * 下 一 步 ? 按 钮 ,弹出 如 图 5.12 所 示 的 对 话 框 。 按 照 提 示 要 求 ,输入 和 确 
认 该 用 户 的 密码 后 , 单 击 " 下 一 步 ” 按 钮 再 选择 想 要 保存 的 路 径 并 单 击 “ 确 定 ” 按 钮 ,最 后 私 钥 
(文件 后 缘 为 PFX) 便 成 功 导出 ,如 图 5. 13 所 示 ; 若 在 图 5. 11 中 选择 “不 ,不 要 导出 私 钥 ” 按 
钮 ,按照 提示 要 求 输入 后 便 可 导出 证 书 ( 文 件 后 级 为 CER)。 


密码 
要 保证 安全 ， 悠 必须 用 密码 保护 科 胃 。 


键入 并 确认 密码 。 


2] 下 殉 已 理 


图 5. 12 输入 并 确认 密码 


正在 完成 证 书 导出 向 导 


您 已 成 功 地 完成 证 书 导出 向 导 。 
您 已 指定 下 列 设置 


局 ecments end Se 


文件 名 

导出 富 铀 是 
包括 证 书 路 径 中 所 有 证 书 否 
文件 格式 个 人 信息 交换 (#. pfx) 


图 5.13 完成 证 书 导出 向 导 
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至 此 ,导出 任务 完成 ,如 图 5. 14 所 示 。 


以 后 利用 这 些 备份 密 钥 ( 证 书 和 私 钥 ) 即 可 恢复 加 密 数据 。 其 他 用 导出 成 功 。 
户 如 果 获 得 本 用 户 的 备份 密 钥 ,也 能 轻松 解密 其 加 密 文件 ,因此 一 定 要 CE 


保管 好 备份 密 钥 。 
(3) 找 回 EFS 加 密 文件 


当 加 密 文件 的 系统 账户 出 现 问 题 或 


用 如 下 两 种 解决 方法 。 
QO@ 利用 备份 的 PFX 私 钥 


图 5.14 导出 成 功 


装 系统 后 ,EFS 加 密 文件 就 无 法 访问 了 。 可 以 采 


如 果 备 份 有 PFX 私 钥 文件 ,利用 它 打开 加 密 文件 很 容易 。 操 作 过 程 如 下 : 
第 1 步 : 找到 备份 的 PFX 私 钥 文 件 , 右 击 该 文件 ,并 选择 “安装 PFX” 选 项 , 如 图 5. 15 
所 示 ; 系统 弹出 “证 书 导入 向 导 ” 对 话 框 ,如 图 5. 16 所 示 。 
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ines\Adninistrator 


EF: ~» 

加 | [开始 | 茶 音 
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| VserDate 次 


图 使 用 ESET WOD32 Antivirus 扫描 
高 级 选项 ， 
打开 方式 吧 

EL EE 
发 送 到 如 
前 切中) 
复制 C) 

创 胖 快 律 廊 式 (5) 


cent 
收 豪 夫 


图 5.15 选择 PFX 私 钥 文件 并 安装 


欢迎 使 用 证 书 导 入 向 导 


这 个 向 导 帮 助 您 梅 证 书 、 本 
表 从 磁盘 复制 久 jiF 书 存 针 区 。 


er 


要 继续 ， 请 单 击 “ 下 一 步 ”。 


3% ED [Ra 


图 5.16 进入 证 书 导 入 向 导 
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第 2 步 : 单 击 “ 下 一 步 " 按 钮 ,在 弹出 的 对 话 框 中 输入 要 导入 的 文件 名 称 ,如 EFS. pfx， 
如 图 5. 17 所 示 。 


注意 用 下 列 格式 可 以 在 一 个 文件 中 存储 一 个 以 上 证 书 : 
个 人 信息 交换 - PITS #2 (FFX, P12) 
加 密 消 息 语法 标准 - FRCS #7 证 所 CP7B) 
县 eresoft 系列 证 书 存 鱼 区 (SST) 


[ET] 
图 5.17 输入 文件 名 


第 3 步 : 单 击 " 下 一 步 ?按钮 ,在 弹出 的 对 话 框 中 再 输入 当初 导出 证 书 时 输入 的 密码 ,如 
图 5. 18 所 示 ,然后 选择 “根据 证 书 类 型 ,自动 选择 证 书 存储 区 ?选项 ,如 图 5. 19 所 示 。 


密码 
为 了 保证 安全 ,已 用 密码 保护 箭 角 。 


为 各 家 刍 入 窑 码 。 
密友 DD: 
Few 
口 册 的 和 本 和 


口 标志 此 密 幅 为 可 导出 的 。 这 格 克 许 您 在 艳 后 备份 或 传输 密 钥 中。 


[| 己 
图 5.18 输入 密码 


证 书 存 储 
证 书 存储 区 是 保存 证 书 的 系统 区 域 - 


以 为 证 书 指定 一 个 位 置 。 
和 和 EU 


[EEEE=EgEEEm [ER 
图 5. 19 选择 证 书 存储 区 域 
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第 4 步 : 单 击 “ 下 一 步 ” 按 钮 并 在 弹出 的 如 图 5. 20 所 示 的 窗口 中 单 击 “完成 ?按钮 ,弹出 
导入 成 功 提示 ,如 图 5. 21 所 示 。 此 后 就 可 以 访问 EFS 加 密 文件 了 。 


正在 完成 证 书 导入 向 导 


您 已 成 功 地 完成 证 书 导 入 向 导 。 


您 已 指定 下 列 设置 
连 定 的 证 书 存 久 ”被 向 导 自动 决定 
内 容 PEX 


文件 名 C:\Documents and Settines\Adni 


~ 
区 


图 5.20 显示 导入 设置 图 5.21 导入 成 功 


@ 利用 备份 的 CER 证 书 

假如 用 户 以 前 未 备份 PFX 私 钥 文件 ,但 是 备份 过 CER 证 书 ,如 果 又 重 装 了 系统 ,就 没 
有 办 法 打开 加 密 文件 了 ; 假如 用 户 还 没有 重 装 系统 , 则 可 利用 备份 的 CER 证 书 进行 类 似 
PFX 的 操作 : 

第 1 步 : 找到 备份 的 CER 证 书 文 件 , 右 击 该 文件 ,并 选择 “安装 证 书 (D? 选 项 , 如 图 5. 22 
所 示 ,系统 将 弹出 * 证 书 导 入 向 导 ? 对 话 框 。 


也 文件 | 亡 蔬 X 划 回 - 


tings\Adninistrator 


x 

加 | [开始 | 菜单 | Application Data | Contacts | Cookies 
| NetHood 已 FrintHood 】 
| Templates | VserData 


E 加 十 三 吕 -… 


Data En 


图 使 用 ESET W0032 Antivirus 扫描 
高 级 选项 ， 


打开 方式 中 
伟 YinRAR » 


uu 发 送 到 加 » 
草 切 中) 


图 5.22 选择 CER 文件 并 安装 


第 2 步 : 在 出 现 的 “证 书 导入 向 导 ” 对 话 框 中 选择 “将 所 有 的 证 书 放 入 下 列 存储 区 ” 选 
项 ,并 单 击 “ 浏 览 ” 按 钮 ,如 图 5. 23 所 示 。 
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证 书 存储 
证 书 存储 区 是 保存 证 书 的 系统 区 域 。 


Windews 可 以 自动 选择 证 书 存储 区 ， 或 者 您 可 以 为 证 书 指定 一 个 位 置 
〇 根据 证 书 关 型 ， 自 动 连 择 证 书 存储 区 WD 
昌 胸 所 有 的 证 书 放 入 下 列 在 请 区 下 
证 书 存储 


图 5.23 选择 存储 区 域 


第 3 步 : 在 出 现 的 选择 证 书 存储 窗口 中 选择 “个 人 ”存储 区 并 单 击 “ 确 定 ” 按 钮 , 即 可 把 
证 书 导入 到 “个 人 ”存储 区 ,如 图 5. 24 所 示 。 
第 4 步 : 单 击 “ 下 一 步 ” 按 钮 ,完成 证 书 导 入 向 导 , 如 图 5. 25 所 示 。 


正在 完成 证 书 导入 向 导 
您 成 功 地 成 证 书 导 入 向 导 。 
低 已 指定 下 列 设 轩 
用 记过 证 的 证 书 和 入 不 人 
选择 要 使 用 的 证 节 存 储 )。 村 僵 
a 
fa 
外 企业 人 
Et 
多 受信 任 的 发 行者 
四 不 信任 的 证 书 
口味 物理 存 针 区 G) 
[Em | 
图 5.24 选择 “个 人 "区 域 图 5.25 完成 证 书 导 入 向 导 


第 5 步 : 单 击 “ 完 成 * 人 即 可 看 见 完成 证 书 导 入 提示 ,如 图 5. 21 所 示 。 

第 6 步 : 执行 “开始 ”一 “运行 ”命令 ,输入 “certmgr. msc” 然 后 按 回 车 键 ,打开 证 书 管 

第 7 步 : 选择 “当前 用 户 ” 一 “个 人 人” 一“ 证书” 路径, 右 击 “证 书 ” 所 有 者 ,选择 “所 有 任 
务 ” 一 “用 相同 密 钥 续 订 证 书 ? 莱 单 , 如 图 5. 26 所 示 。 

此 后 就 可 以 访问 EFS 加 密 文件 了 。 

(4) 解密 EFS 加 密 的 文件 或 文件 夹 

如 果 用 户 要 对 已 被 EFS 加 密 过 的 文件 或 文件 夹 解 密 .或 是 想 取消 已 对 某 个 文件 或 文件 
夹 进 行 的 EFS 加 密 , 则 可 采取 如 下 操作 过 程 。 

第 1 步 : 打开 Windows 资源 管理 器 , 右 击 已 加 密 的 文件 或 文件 夹 , 单 击 “ 属 性 ”选项 。 
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证 于 区 
证 书 存储 
证 书 存储 区 是 保存 证 书 的 系统 区 域 


Windows 可 以 自动 法 择 证 书 存储 区 ， 或 者 您 可 以 为 证 书 指定 一 个 位 置 。 


名 将 所 有 的 证 书 放 入 下 列 存 久 区 到 ) 
证 书 存储 : 
认 | ES 


EF- [Ri 
图 5.26 续 订 个 人 证 书 


第 2 步 : 在 “常规 ”选项 卡 上 单 击 “ 高 级 " 按 
钮 ; 在 弹出 的 如 图 5.7 所 示 的 窗口 中 取消 “加密 | 多 SetGUTRM 
内 容 以 便 保护 数据 " 复 选 框 前 面 的 "VV ”。 

第 3 步 : 确定 后 在 出 现 的 “确认 属性 更 改 ” | 
窗口 中 就 显示 对 属性 的 更 改 为 “解密 ”, 如 图 5. 27 
所 示 ( 可 与 图 5. 8 比较 ), 最 后 单 击 “ 确 定 ” 按 钮 
即 可 。 


2. EFS 的 其 他 操作 图 5.27 确认 属性 更 改 


EFS 系统 除了 具有 对 文件 或 文件 夹 的 加 密 /解密 功能 外 ,还 有 如 下 一 些 常 用 操作 : 

(1) 禁用 EFS 加 密 功能 

如 果 用 户 不 喜欢 EFS 功能 , 可 以 彻底 禁用 它 。 执 行 “ 开 始 ” 一 “运行 ”命令 ,输入 
“regedit” 并 按 回 车 键 ,打开 注册 表 编 辑 器 ,依次 展开 到 HKEY_LOCAL_MACHINE\ 
SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ EFS, 然 后 新 建 一 个 Dword 值 
EfsConfiguration, 并 将 其 键 值 设 为 1。 这 样本 机 的 EFS 加 密 功 能 就 被 彻底 禁用 了 。 

(2) 将 EFS 选项 添加 至 快捷 菜单 

如 果 想 将 EFS 选项 添加 至 快捷 菜单 ,其 操作 过 程 为 : 执行 “开始 ”一 “运行 ”命令 ,输入 
“regedit” 并 按 回 车 键 ,打开 注册 表 编 辑 器 ,依次 展开 到 HKEY_LOCAL_MACHINE\ 
SOFTWARE\Microsoft\ Windows\CurrentVersion\ Explorer\ Advanced, 然 后 新 建 一 个 
Dword 值 EncryptionContextMenu, 并 将 它 的 键 值 设 为 1 。 

注意 : 为 确保 对 注册 表 进 行 修改 ,应 在 自己 的 计算 机 上 拥有 管理 员 账 号 。 这 样 当 用 户 
右 击 某 一 存储 于 NTFS 磁盘 卷 上 的 文件 或 文件 夹 时 ,加 密 或 解密 选项 便 会 出 现在 随后 弹出 
的 快捷 菜单 上 。 

(3) 不 加 密 文件 夹 下 的 子 文件 夹 

在 利用 EFS 加 密 的 过 程 中 用 户 常会 遇 到 这 种 情况 : 用 户 需 要 加 密 某 一 个 文件 夹 , 此 文 
件 夹 下 还 有 很 多 子 文件 夹 , 而 用 户 有 时 不 想 加 密 位 于 此 文件 夹 下 的 某 一 个 或 几 个 子 文件 夹 ， 
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这 样 ,可 用 如 下 两 种 方法 之 一 解决 : 

中 将 不 需要 加 密 的 子 文件 夹 剪 切 移出 ,单独 设立 文件 夹 ,脱离 与 原文 件 夹 的 关系 ,然后 
再 加 密 原文 件 夹 。 这 也 是 很 多 用 户 常用 的 方法 。 这 样 做 的 缺点 是 破坏 了 原来 的 目录 结构 ， 
加 密 和 保持 原 有 的 目录 结构 产生 了 了 矛盾 。 

@ 在 不 需要 加 密 的 子 文件 夹 下 建立 一 个 名 为 Desktop. ini 的 文件 ,打开 该 文件 并 输入 
以 下 内 容 : 

[encryption] 

Disable=1 
输入 完毕 保存 并 关闭 该 文件 。 这 样 ,以 后 如 要 加 密 其 父 文件 夹 , 当 加 密 到 该 子 文件 夹 时 就 会 
过 到 错误 的 信息 提示 , 单 击 “ 忽 略 "按钮 后 即 可 跳 过 对 该 子 文件 夹 的 加 密 , 而 其 父 文件 夹 的 加 
密 不 会 受到 影响 。 

(4) 在 命令 提示 符 下 加 密 /解密 文件 

如 果 用 户 不 喜欢 在 图 形 界面 操作 ,还 可 以 在 命令 提示 符 下 用 cipher 命令 完成 对 文件 和 
文件 夹 的 加 密 / 解 密 操作 。 其 命令 格式 为 : 

cipher [/e /d] 文件 夹 或 文件 名 [参数 ] 


如 要 为 C 盘 根 目录 下 的 abc 文件 夹 加 密 , 就 输入 “cipher /e c:\abc”, 按 回 车 键 后 即 可 完 
成 对 该 文件 夹 的 加 密 。 如 要 对 该 文件 夹 进行 解密 , 则 输入 “cipher /d c:\abc”, 按 回 车 键 后 
即 可 完成 对 该 文件 夹 的 解密 。/e 是 加 密 参 数 ,/d 是 解密 参数 ,其 他 更 多 的 参数 和 用 法 请 在 
命令 提示 符 后 输入 “cipher /?” 查 询 即 可 得 到 。 


63 Kerberos 系统 


Kerberos 是 一 种 提供 网 络 认证 服务 的 系统 ,其 设计 目标 是 通过 密 钥 系 统 为 Client/ 
Server 应 用 程序 提供 强大 的 认证 服务 。 该 认证 过 程 的 实现 不 依赖 于 主机 操作 系统 的 认证 ， 
无 须 基 于 主机 地 址 的 信任 ,不 要 求 网 络 上 所 有 主机 的 物理 安全 ,并 假定 网 络 上 传送 的 数据 包 
可 以 被 任意 地 读 取 、 修 改 和 插入 数据 。 


5.3.1 Kerberos 概述 


Kerberos 是 为 TCP/IP 网 络 系统 设计 的 一 种 基于 对 称 密 钥 密码 体制 的 第 三 方 认证 协 
议 。Kerberos 认证 协议 在 许多 系统 中 都 获得 广泛 应 用 .如 Kerberos v5 是 微软 公司 
Windows 2000/XP/2003 等 操作 系统 的 基础 认证 协议 。Windows 2000/2003 默认 模式 中 的 
模式 域 就 使 用 了 Kerberos。 

Kerberos 在 Windows 2003 中 的 执行 完全 符合 IETF 的 Kerberos v5 规范 ,该 规范 得 到 
了 广泛 的 支持 ,这 意味 着 Windows 2003 域 ( 也 称 为 Kerberos 领域 ) 发 出 的 票证 可 以 在 其 他 
领域 中 使 用 ,如 运行 MacOS、NetWare、`UNIX、AIX IRIX 等 系统 的 网 络 。 

Kerberos 认证 协议 定义 了 客户 端 和 和 密 钥 分 配 中 心 (Key Distribution Center, KDC) 的 
认证 服务 之 间 的 安全 交互 过 程 。KDC 由 认证 服务 器 AS 和 票证 授权 服务 器 TGS 两 部 分 组 
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成 。Kerberos 协议 根据 KDC 的 第 三 方 服务 中 心 来 验证 网 络 中 计算 机 的 身份 ,并 建立 密 钥 
以 保证 计算 机 间 安 全 连接 。Kerberos 允许 一 台 计 算 机 通过 交换 加 密 消息 在 整个 非 安 全 网 
络 上 与 男 一 台 计 算 机 互相 证 明 身 份 。 一 旦 身份 得 到 验证 ,Kerberos 协议 将 会 给 这 两 台 计 算 
机 提供 密 钥 , 以 进行 安全 通信 对 话 。Kerberos 协议 可 以 认证 试图 登录 上 网 用 户 的 身份 ,并 
通过 使 用 密 钥 密码 为 用 户 间 的 通信 加 密 。 

Kerberos 以 票证 (ticket) 系统 为 基础 ,票证 是 KDC 发 出 的 一 些 加 密 数据 包 , 它 可 标识 
用 户 的 身份 及 其 网 络 访问 权限 。 每 个 KDC 负责 一 个 领域 (realm) 的 票证 发 放 。KDC 类 似 
于 发 卡 机 构 ,“ 票 证 "类似 通行 “护照 ”, 它 带 有 安全 信息 。 在 Windows 2003 中 ,每 个 域 也 是 
一 个 Kerberos 领域 ,每 个 Active Directory 域 控 制 器 (DC) 就 是 一 个 KDC。 执 行 基 于 
Kerberos 的 事务 时 ,用 户 将 透明 地 向 KDC 发 送 票 证 请 求 。KDC 将 访问 数据 库 以 验证 用 户 
的 身份 ,然后 返回 授予 用 户 访 问 其 他 计算 机 的 权限 的 票证 。 

Windows 系统 中 采用 多 种 措施 提供 对 Kerberos 协议 的 支持 ,在 系统 的 每 个 域 控制 器 
中 都 应 用 了 KDC 认证 服务 。Windows 系统 中 应 用 了 Kerberos 协议 的 扩展 , 除 共享 密 钥 
外 ,还 支持 基于 公开 密 钥 密 码 的 身份 认证 机 制 。Kerberos 公 钥 认证 的 扩展 允许 客户 端 在 请 
求 一 个 初始 TGT(TGT 称 为 票据 授权 票证 ,是 一 个 KDC 发 给 验证 用 户 的 资格 证 ) 时 使 用 私 
钥 , 而 KDC 则 使 用 公 钥 来 验证 请 求 ,该 公 钥 是 从 存储 在 活动 目录 中 用 户 对 象 的 X. 509 证 书 
中 获取 的 。 用 户 的 证 书 可 以 由 权威 的 第 三 方 发 放 , 也 可 以 由 Windows 系统 中 的 微软 证 书 服 
务 器 产生 。 初 始 认证 以 后 ,就 可 以 使 用 标准 的 Kerberos 来 获取 会 话 票证 ,并 连接 到 相应 的 
网 络 服务 。 


5.3.2 Kerberos 应 用 及 设置 
1. Kerberos 的 应 用 


Kerberos 允许 网 络 上 的 通信 实体 互相 证 明和 披 此 的 身份 ,并 且 能 够 阻止 穷 听 和 重 放 等 攻 
击 。 此 外 , 它 还 能 够 提供 对 通信 数据 保密 性 和 完整 性 的 保护 。 

当 用 户 初始 登录 Windows 时 ,Kerberos 安全 服务 提供 者 (security support provider， 
SSP) 利 用 基于 用 户口 令 的 加 密 散 列 获取 一 个 初始 Kerberos 票证 TGT。Windows 系统 把 
TGT 存储 在 与 用 户 登录 上 下 文 相关 的 工作 站 的 票证 缓存 中 。 当 客户 端 想 要 使 用 网 络 服务 
时 ,Kerberos 首先 检查 票证 缓存 中 是 否 有 该 服务 器 的 有 效 会 话 票 证 。 如 果 没 有 , 则 向 KDC 
发 送 TGT 请 求 一 个 会 话 票证 ,以 便服 务 器 提供 服务 。 请 求 的 会 话 票证 也 存储 在 票证 缓存 
中 ,以 用 于 后 续 对 同一 个 服务 器 的 连接 ,直到 票证 超期 为 止 。 如 果 在 会 话 过 程 中 票证 超期 ， 
Kerberos SSP 将 返回 一 个 响应 的 错误 值 , 允 许 客 户 端 和 服务 器 刷新 票证 ,产生 一 个 新 的 会 
话 密 钥 ,并 恢复 连接 。 在 初始 连接 消息 中 ,Kerberos 把 会 话 票 证 提交 给 远程 服务 ,会话 票证 
中 的 一 部 分 使 用 了 服务 和 KDC 共享 的 密 钥 进行 加 密 。 因 为 服务 器 端的 Kerberos 有 服务 器 
密 钥 的 缓存 复制 ,所 以 ,服务 器 不 需要 到 KDC 进行 认证 ,而 直接 可 以 通过 验证 会 话 票 证 来 
认证 客户 端 。 在 服务 器 端 ,采用 Kerberos 认证 系统 的 会 话 建立 速度 要 比 NTLM 认证 快 得 
多 。 因 为 使 用 NTLM 在 服务 器 获取 用 户 的 信任 书后 ,还 要 与 域 控制 器 建立 连接 ,对 用 户 进 
行 重新 认证 。 

在 Windows 2003 域 中 ,KDC 通常 安装 在 Active Directory 服务 器 上 。 它 们 不 会 按照 
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应 用 程序 进程 进行 连接 ,而 是 作为 单独 的 服务 进程 运行 。 但 由 于 KDC 总 是 安装 在 DC 上 ， 
所 以 可 通过 查找 DC 的 主机 地 址 来 解析 KDC 域名 ,也 可 将 Windows 2003 服务 器 安装 在 非 
Windows 2003 域 中 ,这 时 Windows 2003 服务 器 仍然 能 够 进行 Kerberos 验证 ,但 要 保证 其 
域名 能 被 正确 地 解析 成 对 应 主机 地 址 。 

Kerberos 验证 分 为 初始 验证 和 后 续 验证 两 个 阶段 。 

(1) 初始 验证 

客户 机 (用 户 或 NFS 服务 ) 通 过 从 KDC 请 求 TGT 开始 Kerberos 会 话 。 此 请 求 通常 在 
登录 时 自动 完成 。TGT 可 标识 用 户 的 身份 并 允许 用 户 获取 多 个 “签证 ”, 此 处 的 “签证 ”( 票 
证 ) 是 用 于 远程 计算 机 或 网 络 服务 。TGT 与 其 他 各 种 票证 一 样 也 具有 有 限 的 生命 周期 ,区 
别 在 于 基于 Kerberos 的 命令 会 通知 用 户 拥有 护照 并 为 用 户 取得 签证 ,而 用 户 不 必 亲 自 执行 
该 事务 。 

KDC 可 创建 TGT, 并 采用 加 密 形式 将 其 发 送 回 客户 机 ,客户 机 使 用 其 口令 来 解密 
TGT; 客户 机 在 拥有 有 效 的 TGT 后 ,只 要 该 TGT 未 到 期 , 便 可 以 请 求 所 有 类 型 网 络 操作 
(如 rlogin 或 telnet) 的 票证 。 每 次 客户 机 执行 唯一 的 网 络 操作 时 ,都 将 从 KDC 请 求 该 操作 

(2) 后 续 验 证 

首先 ,客户 机 通过 向 KDC 发 送 其 TGT 作为 其 身份 证 明 , 从 KDC 请 求 特定 服务 (如 远 
程 登录 到 另 一 台 计算 机 ) 的 票证 ; 然后 KDC 将 该 特定 服务 的 票证 发 送 到 客户 机 ; 最 后 客户 
机 将 票证 发 送 到 服务 器 。 使 用 NFS 服务 时 ,NFS 客户 机 会 自动 透明 地 将 NFS 服务 的 票证 
发 送 到 NFS 服务 器 。 

Kerberos 的 认证 过 程 如 下 : 

@ 客户 机 向 认证 服务 器 (AS) 发 送 请 求 ,要求 得 到 某 服务 器 的 证 书 。 

@ AS 的 响应 包含 这 些 用 客户 端 密 钥 加 密 的 证 书 ( 证 书 主要 由 服务 器 ticket 和 一 个 临 
时 加 密 密 钥 一 一 会 话 密 钥 构成 )。 

@ 客户 机 将 ticket( 包 括 由 服务 器 密 钥 加 密 的 客户 机 身份 和 一 份 会 话 密 钥 的 复制 件 ) 传 
送 到 服务 器 上 。 

会 话 密 钥 可 用 来 认证 客户 机 或 认证 服务 器 ,也 可 用 来 为 通信 双方 以 后 的 通信 提供 加 密 
服务 ,或 通过 交换 独立 子 会 话 密 钥 为 通信 双方 提供 进一步 的 通信 加 密 服 务 。 


2. Kerberos 的 安装 设置 


Kerberos 可 用 来 为 网 络 上 的 各 种 Server 提供 认证 服务 ,使 得 口令 不 再 是 以 明文 方式 在 
网 络 上 传输 。 这 里 介绍 在 Linux RedHat 8. 0 环境 下 使 用 Kerberos 自己 提供 的 Ktelnetd、 
Krlogind 和 Krshd 替代 传统 的 telnetd、rlogind 和 rshd 服务 。 

Kerberos 安装 的 硬件 环境 为 一 台 i386 机 器 ,安装 软件 包 为 krb5-server-1. 2. 5-6、krb5- 
workstation-1. 2. 5-6 和 krb5-libs-1. 2. 5-6 。 

rpm— ivhkrb5 — libs—1.2.5— 6.1i386.rpm 


rpm — ivhkrb5 - server — 1.2.5— 6.1i386.rpm 
rpm - ivhkrb5 - workstation — 1.2.5— 6. i386. rpm 


上 述 要 求 满足 后 ,就 可 以 先 配 置 KDC 服务 器 ,然后 配置 Ktelnetd、Krlogind 和 Krshd 
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服务 器 ,最 后 可 以 使 用 krb5-workstation 提供 的 telnet、rlogin 和 rsh 来 登录 这 些 服务 。 安 
装 步骤 如 下 : 
(1) 生成 Kerberos 的 本 地 数据 库 


kdb5_utilcreate 一 rEXAMPLE. COM—s 


该 命令 用 来 生成 Kerberos 的 本 地 数据 库 , 包 括 principal、 principal. OK 和 principal. 
kadm5 文件 ; principal. kadm5. lock. -r 指定 realm, 例 如 EXAMPLE.COM。 

(2) 生成 账号 

Kerberos 用 principal 来 表示 realm 下 的 一 个 账户 ,表示 为 primary/instance@ realm。 
例如 ,username/80.191.89.92@EXAMPLE.COM, 这 里 假设 80. 191. 89. 92 是 客户 机 的 IP 
地 址 。 

在 数据 库 中 加 入 管理 员 账 户 : 


/usr/Kerberos/sbin/kadmin. local 
kadmin. local :addprincadmin/admin(@EXAMPLE. COM 


在 数据 库 中 加 入 用 户 的 账号 : 

kadmin. local :addprincusername/80. 191. 89.92(@EXAMPLE. COM 

在 数据 库 中 加 入 Ktelnetd、Krlogind 和 Krshd 公用 的 账号 : 
kadnmin. local :addprinc — randkeyhost/80. 191. 89. 92(@EXAMPLE. COM 


(3) 检查 
检查 /var/Kerberos/krb5kdc/kadm5. keytab 是 否 有 如 下 语句 : 


# /admin(@EXAMPLE. COM * 


如 果 没 有 ,添加 上 即 可 。 
(4) 修改 /etc/krb5. conf 文件 
修改 所 有 的 realm 为 EXAMPLE. COM, 并 且 加 入 下 列 句子 : 


kdc = 80.191.89.92:88 
admin_server = 80.191.89.92:749 


(5) 在 /etc/krb. conf 中 加 入 语句 
在 /etc/krb. conf 中 加 入 下 列 语句 : 


EXAMPLE. COM 
EXAMPLE. COM80. 191.89.92:88 
EXAMPLE. COM80. 191. 89.92:749adminserver 


(6) 启动 kdc 服务 器 和 Ktelnetd、Krlogind、Krshd 


/etc/init. d/krb5kdcrestart 
Chkconfigkloginon 
Chkconfigkshellon 
Chkconfigekloginon 
chkconfigkrb5 — telneton 
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/etc/init. d/xinetdrestart 


(7) 制作 本 地 缓存 
将 username/80. 191. 89. 92@EXAMPLE. COM 的 credentials 取 到 本 地 作为 cache, 这 
样 以 后 就 可 以 不 用 重复 输入 password 了 。 


kinitusername/80.191.89.92 


如 果 顺 利 , 在 /tmp 下 会 生成 文件 krb5 * 。 这 一 步 如 果 不 通 ,那么 就 必须 检查 以 上 步骤 
是 否 有 错 。 可 以 用 klist 命令 查看 credential。 

(8) 导出 用 户 密 钥 

eXPorthost/80. 191. 89. 92@EXAMPLE. COM 的 key 到 /etc/krb5. keytab,Ktelnetd、 
Krlogind 和 Krshd 需要 /etc/krb5. keytab 来 验证 username/80. 191. 89. 92 的 身份 。 


kadmin. local :ktadd - k/etc/krb5. keytabhost/80. 191. 89.92 


(9) 修改 一 /.k5login 文件 
在 其 中 加 入 username/80. 191. 89. 92 @ EXAMPLE. COM, 表示 允许 username/ 
80. 191. 89. 92@EXAMPLE. COM 登录 该 账户 。 


catusername/80. 191. 89.92@EXAMPLE. COM >> 一 /.k51ogin 
(10) 测试 Kerberos 客户 端 


krsh80. 191. 89.92 — kEXAMPLE. COM 
krlogin80.191.89.92 — kEXAMPLE. COM 
rlogin80. 191.89.92 — kEXAMPLE. COM 
rsh80. 191. 89.92 — kEXAMPLE. COM 
telnet — x80. 191. 89. 92 — kEXAMPLE. COM 


6.4 IPSec 系统 


5.4.1 IPSec 概述 


IP 安全 协议 (IP Security,IPSec) 是 网 络 安全 协议 的 一 个 工业 标准 ,也 是 目前 TCP/IP 
网 络 的 安全 化 协议 标准 。IPSec 最 主要 的 功能 是 为 IP 通信 提供 加 密 和 认证 ,为 IP 网 络 通信 
提供 透明 的 安全 服务 ,保护 TCP/IP 通信 和 免 遭 窃听 和 算 改 ,有 效 抵御 网 络 攻 击 , 同 时 保持 其 
易 用 性 。 

IPSec 的 目标 是 为 IP 提供 互 操作 高 质量 的 基于 密码 学 的 一 整套 安全 服务 ,其 中 包括 访 
问 控制 .无 连接 完整 性 、 数 据 源 验证 、 抗 重 放 攻击 、 机 密 性 和 有 限 的 流量 保密 。 这 些 服务 都 在 
IP 层 提 供 , 可 以 为 IP 和 其 上 层 协议 提供 保护 。 

IPSec 不 是 一 个 单独 的 协议 , 它 由 一 系列 协议 组 成 ,包括 网 络 认 证 协议 (AH 也 称 认 证 
报头 ) .封装 安全 载荷 协议 (ESP)、 密 钥 管 理 协议 (CIKE) 和 用 于 网 络 认 证 及 加 密 的 一 些 算法 
等 。 其 中 AH 协议 定义 了 认证 的 应 用 方法 ,提供 数据 源 认证 和 完整 性 保证 ; ESP 协议 定义 
了 加 密 和 可 选 认证 的 应 用 方法 ,提供 可 靠 性 保证 。 在 实际 进行 IP 通信 时 ,可 以 根据 实际 安 
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全 需求 同时 使 用 这 两 种 协议 或 选择 使 用 其 中 的 一 种 。AH 和 ESP 都 可 以 提供 认证 服务 ,不 
过 ,AH 提供 的 认证 服务 要 强 于 ESP。IPSec 规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 .确定 
安全 算法 和 和 密 钥 交换 ,向 上 层 提 供 访 问 控制 .数据 源 认证 、 数 据 加 密 等 网 络 安全 服务 。IPSec 
可 应 用 于 虚拟 专用 网 络 (VPN) 、 应 用 级 安全 以 及 路 由 安全 三 个 不 同 的 领域 ,但 目前 主要 用 
于 VPN。 

IPSec 既 可 以 作为 一 个 完整 的 VPN 方案 ,也 可 以 与 其 他 协议 配合 使 用 ,如 PPTP、 
L2TP。 它 工作 在 IP 层 (网 络 层 ) ,为 IP 层 提供 安全 性 ,并 可 为 上 一 层 应 用 提供 一 个 安全 的 
网 络 连 接 , 提 供 基于 一 种 端 -端的 安全 模式 。 由 于 所 有 支持 TCP/IP 协议 的 主机 进行 通信 
时 ,都 要 经 过 IP 层 的 处 理 ,所 以 提供 了 IP 层 的 安全 性 就 相当 于 为 整个 网 络 提供 了 安全 通信 
的 基础 。 鉴 于 IPv4 的 应 用 仍然 很 广泛 ,所 以 后 来 在 IPSec 的 制定 中 将 IPv6 中 的 安全 支持 
也 增添 进 了 IPv4。 

IPSec 可 用 于 IPv4 和 IPv6 环境 。 它 有 两 种 工作 模式 : 一 种 是 隧道 模式 ; 另 一 种 是 传 
输 模 式 。 在 隧道 模式 中 ,整个 IP 数据 包 被 加 密 或 认证 ,成 为 一 个 新 的 更 大 的 IP 包 的 数据 部 
分 ,该 IP 包 有 新 的 IP 报头 ,还 增加 了 IPSec 报头 。 在 传输 模式 中 ,只 对 IP 数据 包 的 有 效 负 
载 进 行 加 密 或 认证 ,此 时 继续 使 用 原始 IP 头 部 。 隧 道 模式 主要 用 在 网 关 和 代理 上 ,IPSec 
服务 由 中 间 系 统 实现 , 端 节点 并 不 知道 使 用 了 IPSec。 在 传输 模式 中 ,两 个 端 节点 必须 都 实 
现 IPSec, 而 中 间 系 统 不 对 数据 包 进 行 任何 IPSec 处 理 。 

通信 双方 如 果 要 用 IPSec 建立 一 条 安全 的 传输 通道 ,需要 事先 协商 好 将 要 采用 的 安全 
策略 ,包括 加 密 机 制 和 完整 性 验证 机 制 及 其 使 用 的 算法 、 密 钥 、 生 成 期 限 等 。 一 旦 发 收 双方 
协商 好 使 用 的 安全 策略 ,可 以 说 双方 (两 台 计 算 机 ) 之 间 建 立 了 一 个 安全 关联 (Securlty 
Association ,SA) 。 

IETF 已 经 建立 了 一 个 安全 关联 和 密 钥 交换 方案 的 标准 方法 , 它 将 Internet 安全 关联 和 
密 钥 管理 协议 (ISAKMP) 以 及 Oakley 密 钥 生 成 协议 进行 了 合并 。ISAKMP 集中 了 安全 关 
联 管理 ,减少 了 连接 时 间 。Oakley 生成 并 管理 用 来 保护 信息 的 身份 验证 密 钥 。 为 保证 通信 
的 成 功 和 安全 ,ISAKMP/Oakley 执行 密 钥 交换 和 数据 保护 两 个 阶段 的 操作 。 通 过 使 用 在 
两 台 计算 机 上 协商 ,从 而 达成 一 致 的 加 密 和 身份 验证 算法 保证 机 密 性 和 身份 验证 。 


5.4.2 IPSec 中 加 密 与 完整 性 验证 机 制 


IPSec 可 对 数据 进行 加 密 和 完整 性 验证 。 其 中 ,AH 协议 只 能 用 于 对 数据 报头 进行 完 
整 性 验证 ,而 ESP 协议 可 用 于 对 数据 的 加 密 和 完整 性 验证 。 

IPSec 的 认证 机 制 使 IP 通信 的 数据 接收 方 能 够 确认 数据 发 送 方 的 真实 身份 以 及 数据 
在 传输 过 程 中 是 否 遭 自 改 。IPSec 的 加 密 机 制 通过 对 数据 进行 编码 来 保证 数据 的 机 密 性 ， 
以 防 数据 在 传输 过 程 中 被 窃听 。 为 了 进行 加 密 和 认证 ,IPSec 还 需要 有 密 钥 的 管理 和 交换 
功能 ,以 便 为 加 密 和 认证 提供 所 需要 的 密 钥 并 对 密 钥 的 使 用 进行 管理 。 以 上 三 方面 的 工作 
分 别 由 AH、ESP 和 IKE 三 个 协议 规定 。 


1. 安全 关联 (SA) 


IPSec 中 一 个 重要 概念 就 是 SA ,所谓 安 全 关联 是 指 安 全 服务 与 它 服务 的 载体 之 间 的 一 
个 “连接 ”, 即 是 能 为 双方 之 间 的 数据 传输 提供 某 种 IPSec 安全 保障 的 一 个 简单 连接 。SA 可 


第 5 章 ”软件 安全 技术 与 应 用 实践 


以 看 成 是 两 个 IPSec 对 等 端 之 间 的 一 条 安全 隧道 。SA 是 策略 和 密 钥 的 结合 , 它 定 义 用 来 保 
护 端 - 端 通信 的 常规 安全 服务 、 机 制 和 密 钥 。SA 可 由 AH 或 ESP 提供 , 当 给 定 了 一 个 SA， 
就 确定 了 IPSec 要 执行 的 处 理 。 

在 SA 中 ,两 台 计算 机 在 如 何 交换 和 保护 信息 方面 达成 一 致 。 可 为 不 同类 型 的 流量 创 
建 独立 的 SA, 例 如 , 当 一 台 计 算 机 与 多 台 计 算 机 同时 进行 安全 通信 时 可 能 存在 多 种 关联 。 
这 种 情况 经 常 发 生 在 当 计 算 机 作为 文件 服务 器 或 向 多 个 客户 提供 服务 的 远程 访问 服务 器 的 
时 候 。 一 台 计 算 机 也 可 以 与 男 一 台 计 算 机 有 多 个 SA ,例如 在 两 台 主 机 之 间 为 TCP 建立 独 
立 的 SA, 并 在 同样 两 台 机 器 之 间 建 立 另 一 条 支持 UDP 的 SA, 甚 至 可 以 为 每 个 TCP 或 
UDP 端口 建立 分 离 的 SA。 


2. 认证 协议 (AH) 


IPSec 认证 协议 (AH ) 为 整个 数据 包 提 供 身 份 认证 、 数 据 完整 性 验证 和 抗 重 放 服 务 。 
AH 通过 一 个 只 有 密 钥 持 有 人 才 知 道 的 数字 签名 "来 对 用 户 进行 认证 。 这 个 签名 是 数据 包 
通过 特别 的 算法 得 出 的 独特 结果 。AH 还 能 维持 数据 的 完整 性 ,因为 在 传输 过 程 中 无 论 多 
小 的 变化 被 加 载 ,数据 包头 的 数字 签名 都 能 把 它 检测 出 来 。 由 于 AH 不 能 加 密 数 据 包 所 加 
载 的 内 容 , 因 而 它 不 保证 任何 的 机 密 性 。 两 个 最 常用 的 AH 标准 是 MD5 和 SHA-1, MD5 
使 用 最 多 达 128 位 的 密 钥 , 而 SHA-1 通过 最 多 达 160 位 密 钥 提供 更 强 的 保护 。 重 放 攻击 是 
通过 采用 单调 递增 序列 号 来 预防 的 。 序 列 号 不 允许 循环 使 用 ,因此 , 当 计数 器 达到 其 最 大 值 
时 ,不 能 恢复 到 0。IPSec 要 求 在 计数 器 达到 上 限时 ,必须 建立 一 个 新 的 安全 关联 ,新 的 安全 
关联 有 新 的 计数 器 和 加 密 密 钥 。 

AH 协议 为 IP 通信 提供 数据 源 认证 和 数据 完整 性 验证 , 它 能 保护 通信 和 免 受 算 改 ,但 并 
不 加 密 传输 内 容 ,不 能 防止 窃听 。AH 联合 数据 完整 性 保护 并 在 发 送 接收 端 使 用 共享 密 钥 
来 保证 身份 的 真实 性 ; 使 用 Hash 算法 在 每 一 个 数据 包 上 添加 一 个 身份 验证 报头 来 实现 数 
据 完整 性 验证 。 验 证 过 程 中 需要 预约 好 收发 两 端的 Hash 算法 和 共享 密 钥 。 

AH 可 与 很 多 各 不 相同 的 算法 一 起 工作 。AH 要 校 验 源 地 址 和 目的 地 址 这 些 标 明 发 送 
设备 的 字段 是 否 在 路 由 过 程 中 被 改变 过 。 如 果 校 验 没 通 过 ,分 组 就 会 被 抛弃 。 通 过 这 种 方 
式 ,AH 就 为 数据 的 完整 性 和 原始 性 提供 了 鉴定 。 

为 了 建立 IPSec 通信 ,两 台 主机 在 SA 协定 之 前 必须 互相 认证 ,有 如 下 3 种 认证 方法 。 

(1) Kerberos 方法 

Kerberos v5 常用 于 Windows 2003, 是 其 默认 认证 方式 。Kerberos 能 在 域内 进行 安全 
协议 认证 ,使 用 时 , 它 既 对 用 户 的 身份 也 对 网 络 服务 进行 验证 。Kerberos 的 优点 是 可 以 在 
用 户 和 服务 器 之 间 相 互 认 证 ,也 具有 互 操 作 性 。Kerberos 可 以 在 Server 2003 域 和 使 用 
Kerberos 认证 的 UNIX 环境 系统 之 间 提 供认 证 服务 。 

(2) 公 钥 证 书 (PKD 方 法 

PKI 用 来 对 非 受 信 域 的 成 员 、 非 Windows 客户 或 没有 运行 Kerberos v5 认证 协议 的 计 
算 机 进行 认证 ,认证 证 书 由 一 个 作为 证 书 机 关 的 系统 签署 。 

(3) 预先 共享 密 钥 方法 

在 预先 共享 密 钥 认 证 中 ,计算 机 系统 必须 认同 在 IPSec 策略 中 使 用 的 一 个 共享 密 钥 ,使 
用 预先 共享 密 钥 仅 当 证 书 和 Kerberos 无 法 配置 的 场合 。 
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3. 封装 安全 载荷 协议 ESP 


安全 加 载 封 装 协议 (ESP) 通 过 对 数据 包 的 全 部 数据 和 加 载 内 容 进 行 加 密 来 保证 传输 信 
息 的 机 密 性 ,这 样 可 以 避免 其 他 用 户 通过 监听 打开 信息 交换 的 内 容 , 因 为 只 有 受信 任 的 用 户 
拥有 密 钥 打开 内 容 。 此 外 ,ESP 也 能 提供 身份 认证 ,数据 完整 性 验证 和 防止 重 发 。 在 隧道 
模式 中 ,整个 IP 数据 报 都 在 ESP 负载 中 进行 封装 和 加 密 。 当 该 过 程 完成 以 后 ,真正 的 IP 
源 地 址 和 目的 地 址 都 可 以 被 隐藏 为 Internet 发 送 的 普通 数据 。 这 种 模式 的 一 种 典型 用 法 就 
是 在 防火 墙 与 防火 墙 之 间 通 过 VPN 的 连接 进行 的 主机 或 拓扑 隐藏 。 在 传输 模式 中 ,只 有 
更 高 层 协议 帧 (TCP .UDP ICMP 等 ) 被 放 到 加 密 后 的 IP 数据 报 的 ESP 负载 部 分 。 在 这 种 
模式 中 , 源 地 址 和 目的 IP 地址 以 及 所 有 的 IP 包头 域 都 是 不 加 密 发 送 的 。 

ESP 主要 使 用 DES 或 3DES 加 密 算 法 为 数据 包 提 供 机 密 性 。 例 如 ,使 用 计算 机 A 的 用 
户 甲 将 数据 发 送 给 使 用 计算 机 B 的 用 户 乙 。 因 为 ESP 提供 机 密 性 ,所 以 数据 被 加 密 。 接 收 
端 在 验证 过 程 完成 后 ,数据 包 的 数据 部 分 将 被 解密 。 用 户 乙 可 以 确定 确实 是 用 户 甲 发 送 的 
数据 并 且 数据 未 经 修改 ,其 他 人 无 法 读 取 这 些 数 据 。 

ESP 报头 提供 集成 功能 和 IP 数据 的 可 靠 性 。 集 成 功能 保证 了 数据 没有 被 恶意 网 客 破 
坏 ,可靠 性 保证 使 用 密码 技术 的 安全 。 对 IPv4 和 IPv6,ESP 报头 都 列 在 其 他 IP 报头 后 面 。 
ESP 编码 只 有 在 不 被 任何 IP 报头 扰乱 的 情况 下 才能 正确 发 送 包 。 

ESP 协议 数据 单元 格式 由 3 个 部 分 组 成 ,除了 头 部 、 加 密 数据 部 分 外 ,在 实施 认证 时 还 
包含 一 个 可 选 尾部 。 使 用 ESP 进行 安全 通信 之 前 ,通信 双方 需要 先 协商 好 一 组 将 要 采用 的 
加 密 策略 ,包括 使 用 的 算法 、 密 钥 以 及 密 钥 的 有 效 期 等 。 加密 数据 部 分 除了 包含 原 IP 数据 
包 的 有 效 负 载 , 填 充 域 (用 来 保证 加 密 数 据 部 分 满足 块 加 密 的 长 度 要 求 ) 包 含 其 余部 分 在 传 
输 时 都 是 加 密 过 的 。 


5.4.3 IPSec 设置 与 应 用 实例 
1. IPSec 的 基本 配置 


AH 和 ESP 报头 中 没有 指明 用 来 产生 认证 数据 和 负载 数据 的 算法 ,这 意味 着 可 以 使 用 
一 些 不 同 的 算法 。 这 样 ,如 果 出 现 了 一 个 新 的 算法 ,系统 可 以 不 做 明显 改动 地 将 该 算法 合成 
进 IPSec 标准 中 。 目 前 ,MD5 和 SHA 是 用 来 产生 认证 数据 的 两 种 算法 。ESP 使 用 的 加 密 
算法 有 DES、3DES、RC5 和 IDEA。 

一 旦 确定 了 IPSec 安全 级 别 , 接 下 来 就 是 配置 IPSec 安全 性 。IPSec 策略 配置 是 把 安全 
需求 转换 为 一 个 或 者 多 项 IPSec 策略 ,针对 个 人 用 户 、 工 作 组 ,应 用 系统 、 域 .站 点 或 跨国 企 
业 等 不 同 的 安全 要 求 , 网 络 安 全 管理 员 可 以 配置 多 种 IPSec 策略 以 分 别 满足 其 需求 。 每 项 
IPSec 策略 包含 一 条 或 多 条 IPSec 规则 ,每 条 IPSec 规则 包含 一 个 过 滤 列 表 、 过 滤 动 作 、 认 证 
方法 以 及 连接 类 型 等 。 

过 滤 列 表决 定 了 受 安全 规则 制约 的 IP 流量 类 型 。 一 旦 过 滤器 被 触发 ,就 会 采取 过 滤 动 
作 。 过 滤 动 作 指明 了 对 应 于 过 滤 列 表 中 所 标 出 的 IP 地 址 所 采取 的 安全 措施 。 配 置 IPSec 
过 滤 动 作 时 有 以 下 3 种 可 选 动作 。 

(1) 允许 

IPSec 安全 策略 中 的 允许 选项 是 默认 值 。 数 据 包 人 允许 在 网 络 中 传输 ,无需 IPSec 保护 。 
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(2) 阻塞 

当 使 用 阻塞 过 滤 选 项 时 ,网 络 中 不 允许 运行 满足 相应 的 IP 过 滤 条 件 的 协议 。 

(3) 协商 安全 性 

如 果 一 项 IPSec 过 滤 条 件 得 到 匹配 ,协商 安全 性 选项 可 以 让 管理 员 设 置 对 数据 的 加 密 

下 面 介绍 IPSec 的 基本 配置 及 选取 不 同 算法 的 过 程 。 

选择 “开始 ”一 “程序 ”一 "管理 工具 ”一 "本 地 安全 策略 "菜单 ,打开 * 本 地 安全 设置 对话 
框 。 单 击 "IP 安全 策略 : 在 本 地 机 器 ?选项 ,如 图 5. 28 所 示 。 最 初 窗口 显示 客户 端 ,服务 器 、 
安全 服务 器 这 3 种 预定 义 的 策略 项 。 在 每 个 预定 义 的 策略 的 描述 中 详细 解释 了 该 策略 的 操 
作 原 则 。 如 果 想 要 修改 系统 预定 义 的 策略 细节 ,可 以 右 击 相应 的 策略 并 选择 “属性 ”进行 
修改 。 


文件 人 操作 查看 WW 帮助 0) 


中 向 加 加 岛 前 守 


安全 设置 [EE ] 描述 第 四 已 指派 
用 仆 账 户 第 略 乓 安全 服务 器 (需要 。 对 所 有 IF 通讯 总 是 使 否 
二 伏 守 户 病 (响应 ) 。。 正 第 通讯 不 安全 的 )。..。 天 
由 国 公 捕 求 安全 ) 。 对 所 讯 理 
人 副 服务 器 清 求 安全 ) 。 对 所 有 IP 通讯 总 是 使 


安全 第 梧 , 在 本 地 计算 机 


图 5.28 打开 本 地 安全 设置 


(1) 创建 IP 安全 策略 
第 1 步 : 右 击 “IP 安全 策略 ,在 本 地 机 器 ”选项 ,选择 “创建 IP 安全 策略 ”项 ,如 图 5. 29 
所 示 ; 打开 如 图 5. 30 所 示 的 “安全 策略 向 导 ” 对 话 框 , 单 击 “ 下 一 步 ” 按 钮 继续 。 


文件 如” 操作) 查看 WD 帮助 
生日 苞 氏 | 骨 证 


名 称 / E23 策略 已 指派 
便 iewr_sEcv 是 
| 钙 实 全 服务 器 (需要 .， 对 所 有 IP 通讯 总 是 使 理 
总 客户 端 ( 羽 响 应 ) 正常 通讯 不 安全 的 )。 否 
着 新 I? 安全 策略 此 为 新 创建 的 TF 安全 第 理 
外 峙 IP 安全 策略 加 ) 通讯 总 是 使 要 


所 有 任务 到 ) 
查看 中 


刷新 
导出 列表 中. 


图 5.29 创建 IP 安 全 策略 
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IP 安全 策略 向 导 区 | 区 | 
欢迎 使 用 “IF 安全 策略 向 导 ”。 


此 向 导 和 帮助 纤 自 哇 IP 安全 策略， 您 椅 指 定 对 于 特定 的 


下 通讯 类 型 ， 和 特定 计算 机 或 计算 机 组 (于 癌 ) 通 讯 时 
使 用 的 安全 级 别 。 


要 继续 ,请 单 击 “ 下 一 步 ”。 


职 泊 
图 5.30 安全 策略 向 导 


第 2 步 : 在 弹出 的 对 话 框 中 为 新 的 IP 安全 策略 命名 并 填写 策略 描述 ,如 图 5. 31 
所 示 。 


IP 安全 策略 向 导 四 加 
IP 安全 策略 名 称 
命名 这 个 IF 安全 策略 并 且 结 出 一 个 简短 的 描述 
b= 
名 称 电 ) 
新 IP 安全 策略 
描述 四 ) 


| 此 为 新 创建 的 TP 安全 第 格 ， 莱 策略 可 以 


图 5.31 “IP 安全 策略 名 称 ” 对 话 框 


第 3 步 : 单 击 “ 下 一 步 ” 按 钮 ,选择 “激活 默认 响应 规则 ” 复 选项 ,如 图 5. 32 所 示 , 然 后 单 
击 “ 下 一 步 ” 按 钮 。 

第 4 步 : 接受 默认 的 选项 “Active Directory 默认 值 (Kerberos V5 协议 )” 作 为 默认 响应 
规则 身份 验证 方法 ,如 图 5. 33 所 示 , 单 击 “ 下 一 步 ? 按 钮 继续 。 

第 5 步 : 选中 “编辑 属性 ? 复 选 框 ,并 单 击 * 完 成 按钮 ,如 图 5. 34 所 示 。 这 样 就 完成 了 
IPSec 的 初步 配置 。 

完成 初步 配置 后 ,将 弹出 新 IP 安全 策略 向 导 对 话 框 ,如 图 5. 35 所 示 。 
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IP 安全 策略 向 导 
安全 通信 请 求 
指定 这 个 策略 如 何 对 安全 通信 的 请 求 做 出 反应 。 


默认 响应 规则 在 全 有 征用 时 ,对 请 求 安全 的 远程 计算 机 作出 啊 
应 。 为 了 安全 i 计算 机 必须 对 实 全 通信 请 求 做 出 啊 应 。 


忆 WN 


+- 步 @)] 压 二 步 如 


图 5.32 “安全 通信 请 求 ” 对 话 框 


IP 安全 策略 向 导 
默认 啊 应 规则 身份 验证 方式 
要 添加 多 身份 验证 方式 ,在 完成 该 向 导 之 后 请 编辑 默认 响应 规则 。 
ba 


为 此 安全 规则 设置 初始 身份 验证 方法 


Ketive Directory 默认 征 Kerberos 三 念 议 ) gj 
个 使 用 由 此 证 书 湛 发 机 构 (CA) 颁发 的 证 世人 C) 


个 此 字符 串 用 来 保护 密 钥 交换 跨 共 享 密 钥 ) GE) 


图 5.33 设置 身份 验证 方法 


IP 安全 策略 向 导 区 | 区 


正在 完成 IP 安全 第 略 向 导 
您 已 成 功 地 完成 指定 您 的 新 IP 安全 策略 的 属性 。 


要 立即 编辑 你 的 IF 安全 策略 ,请 渤 择 “编辑 属性 ”类 
后 单 击 “ 完 成 ”。 


7 攻 得 永 住 加 


完成 ”来 关闭 此 向 导 . 


中 


< 上 二 步 加 


图 5.34 完成 IP 安全 策略 向 导 
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(2) 配置 安全 策略 和 规则 


用 户 添 加 自己 定义 的 “IP 安全 规则 ”。 在 不 选择 “使 用 “添加 向 导 ”” 情 况 下 (撤销 图 5. 35 
下 面 复 选 框 中 的 “VV”), 单 击 “ 添 加 ”按钮 ,弹出 如 图 5. 36 所 示 的 “新 规则 属性 ?对 话 框 。 在 
这 里 用 户 就 可 以 对 新 规则 的 各 项 属性 进行 如 下 设置 。 


新 IP 安全 策略 属性 


靳 到 则 是 竹 


vd. 
J 祖先 器 列 表 | 诗 过 器 换 作 | 身份 验证 方法 | 障 道 设置 | 连接 类 型 | 
至 和 了 和 也 个 和 导入 和 委 凡 规 则 
了? 第 和 器 列表 (L) 
ET ETEEEREIETE 这 pp | 
动态 > 默认 响应 Kerberos 无 加 所 有 ICWF 通讯 量 四 也 该 计算 机 与 任何 其 由 计算 
〇 所 有 JF 通讯 量 到 该 计 算 机 到 任何 其 地 计算 
[Oj 新 I? 靖 二 器 列表 (1) 
庄 加 WD) | 编辑 四 | 。 贡 除 E) 
< a a » 
添加 中 ) 编 各 到 ) 删除 全 把 使 用 “添加 向 导 ” 人 ) 
[= | EL TH 取消 应 用 (A) 


图 5.35 “新 IP 安全 策略 属性 ”对 话 框 图 5.36 “新 规则 属性 ”对 话 框 


Q@ IP 筛选 列表 设置 


第 1 步 : 在 如 图 5.37 所 示 的 “IP 筛选 列表 ”对 话 框 上 单 击 * 添 加 ?按钮 ,打开 *IP 筛选 器 
列表 ”对 话 框 。 


图 5.37 “IP 筛选 器 列表 "对话 杠 


第 2 步 : 输入 新 卫 筛 选 器 列表 的 名 称 、 描 述 信息 并 在 不 选择 “使 用 * 添 加 向 导 ” "情况 
下 , 单 击 “ 添 加 ”按钮 ,弹出 如 图 5. 38 所 示 的 “筛选 器 属性 ?对 话 框 。 筛 选 器 属性 包含 寻 址 、 
协议 和 描述 3 个 选项 卡 :“ 寻 址 ”选项 卡 可 对 IP 数据 流 的 源 地 址 、 目 标 地 址 进行 规定 ;“ 协 
议 ” 选 项 卡 可 对 数据 流 所 使 用 的 协议 进行 规定 ,如 果 选 择 了 TCP 或 UDP 协议 ,还 可 以 对 源 
端 和 目的 端 使 用 的 端口 号 做 出 规定 ;“ 描 述 ” 选 项 卡 可 对 新 筛选 器 做 出 简单 描述 。 
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第 3 步 : 在 图 5.38 的 “ 寻 址 ”选项 卡 中 选择 IP 数据 流 的 源 地 址 和 目标 地 址 。 
第 4 步 : 打开 “协议 ”选项 卡 后 ,在 图 5. 39 窗口 中 可 选择 协议 类 型 ,如 选择 ICMP 或 
TCP 等 。 


友 鲁 光 。 同时 二 洗 地 址 和 1 目标 地 址 正好 相反 的 数据 包 相 匹配 O)， 


图 5. 38 “筛选 器 属性 ”对 话 框 图 5.39 筛选 器 属性 一 一 协议 


第 5 步 : 单 击 “ 确 定 ” 按 钮 后 ,完成 对 “筛选 器 属性 ?的 设置 ,然后 要 确保 选中 新 设置 的 
IP 筛选 器 ,如 图 5. 40 所 示 。 

@ 筛选 器 操作 设置 

“筛选 器 操作 ?选项 卡 是 整个 IPSec 设计 的 关键 , 它 将 对 符合 “IP 筛选 器 ”的 数据 流 进行 
相应 的 处 理 。 

第 1 步 : 选择 图 5.40 中 的 “筛选 器 操作 ”选项 卡 ,如 图 5. 41 所 示 。 在 此 不 选择 “使 用 
“添加 向 导 '” 情 况 下 单 击 “ 添 加 ”按钮 ,弹出 如 图 5. 42 所 示 的 “新 规则 属性 ”对 话 框 。 

BRI S57 新 生 先 回扣 作 属性 


J 请 丰 器 列表 | 请示 器 扩 作 | 身份 验证 方法 | 院 道 设置 | 连接 类 型 | 3 
玫 许可 中 


又 铺 意 了? 入 选 器 列表 指定 了 哪个 网 络 传输 格 受 此 规则 


IP 钼 渤 器 列表 LD): 

= 1 == 
名 所 有 ICHP 通讯 县 匹 也 该 计算 机 与 任何 其 地 计算 

〇 所 有 IF 通讯 量 匹配 该 计算 机 到 任何 其 地 计算 . 
[9] 新 IP 冰 二 器 列表 (1) 

添加 也 ) 轴 往 E) BS EY 


取消 应 用 [本 [了 ][ 胡 W 
图 5.40 ”确保 选中 新 设置 的 “IP 筛选 器 ” 图 5.41 “新 筛选 器 操作 属性 ”对 话 框 
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第 2 步 : 在 这 里 可 以 对 新 筛选 器 操作 的 细节 进行 设置 。 其 中 ,可 以 选择 “许可 ”“ 阻 止 ” 
对 符合 “IP 筛选 器 ”的 数据 流 进行 过 滤 。 此 处 选择 “协商 安全 ”选项 ,以 便 对 允许 的 通信 进行 
进一步 的 安全 设置 。 

第 3 步 : 单 击 “ 添 加 ”按钮 ,弹出 如 图 5. 43 所 示 的 “安全 措施 ”窗口 ,选择 添加 相应 的 安 
全 措施 。 可 选 的 安全 措施 有 “加 密 并 保持 完整 性 ”“ 仅 保持 完整 性 "和 “ 自 定义 ”3 种 。 


二 


Ed 
J 了 着 生 器 列表 生 先 器 操作 | 身份 验证 方法 | 隧道 设置 | 连接 类 型 | 
> ES 
人 加 密 并 保持 完整 性 外 ) 
二 = 传送 的 数据 格 被 加 密 ， 验 证 为 可 信和 的 并 且 没 有 被 更 改 
La] 
EE EE T 个 充 保持 完整 性 C) 
口 请 下 全 加 沈 ) 接受 不 安全 的 通讯 ， 但 请求 信 尖 的 数据 格 补 验证 为 可 信 开 且 没有 被 更改 ， 但 格 不 会 被 加 
口琴 要 安全 接受 不 安全 的 通讯 ,但 总 是 请 时 
OW 可 区 许 不 安全 的 IP 包 经 过 。 他 自 定义 @ 
设置 @@) 
诡 加 四 | 捕手 加) 一 际 凶 | 厅 合用 “添加 向 ”Q) 
Ti 十 EE] [本 
图 5. 42 “筛选 器 操作 ”选项 卡 图 5.43 “安全 措施 ”选项 卡 


第 4 步 : 自 定义 包括 数据 和 地 址 不 加 密 的 完整 性 算法 、 数 据 完 整 性 算法 (如 MD5、 
SHA1) ,数据 加 密 算法 (如 DES、3DES) 和 密 钥 生存 期 等 。 在 此 选择 “ 自 定义 ”选项 ,再 单 击 
“设置 ”按钮 ,出 现 如 图 5. 44 所 示 的 窗口 ,用 户 可 按 要 求 进行 选择 。 

第 5 步 : 单 击 “ 确 定 ” 按 钮 后 ,弹出 如 图 5. 45 所 示 的 窗口 ,在 此 可 以 添加 多 个 安全 措施 ， 
并 通过 “上 移 ”“ 下 移 ” 按 钮 指定 和 另 一 计算 机 协商 时 采取 的 安全 措施 首选 的 顺序 ,并 可 对 某 
次 设置 进行 修改 和 删除 。 


新 筛选 器 操作 展 性 


自 定义 安全 措施 设置 


指定 此 自 定义 安全 措施 的 设置 。 

[ 数据 和 地 址 不 加 密 的 完整 性 (AD (A) 
完整 性 算法 也 ) 

ns 二 

数据 元 整 性 和 加 密 (ESP) @): 


万 接受 不 安全 的 通信 ,但 总 是 用 IPSec 中 应 
厂 允许 和 不 支持 IPSec 的 计 复 机 进行 不 安全 的 通信 站 ) 
厂 会 话 宅 钥 完全 向 前 保 室 (PFS) EE) 


[ET Cm ] 
5.44 “ 自 定义 安全 措施 设置 "对 话 框 5.45 添加 多 个 安全 措施 
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在 图 5. 45 所 示 “ 安 全 措施 ”选项 卡 中 还 有 如 下 三 个 选项 。 
。 接受 不 安全 的 通信 ,但 总 是 用 IPSec 响应 : 接受 由 其 他 计算 机 初始 化 的 不 受 保护 的 
通信 ,但 在 本 机 应 答 或 初始 化 时 总 是 使 用 安全 的 通信 。 
允许 和 不 支持 IPSec 的 计算 机 进行 不 安全 的 通信 : 允许 来 自 或 到 其 他 计算 机 的 不 受 
保护 的 通信 。 

。 会 话 密 钥 完全 向 前 保密 : 确保 会 话 密 钥 和 密 钥 材 料 不 被 重复 使 用 。 

注意 ; 当 以 上 内 容 设置 结束 , 单 击 “确定 ”按钮 回 到 “筛选 器 操作 ”选项 卡 后 ,必须 选中 刚 
才 添加 的 新 筛选 器 操作 项 ,如 图 5.46 所 示 。 

@ 身份 验证 方法 设置 

身份 验证 方法 定义 了 向 每 一 位 用 户 保 证 其 他 的 计算 机 或 用 户 的 身份 。 每 一 种 身份 验证 
方法 都 提供 必要 的 手段 来 保证 身份 。 

第 1 步 : 单 击 图 5. 46 中 的 “身份 验证 方法 ”选项 卡 ,弹出 如 图 5. 47 所 示 的 窗口 。 


匣 观 则 蝶 性 到 


新 规则 属性 区 区 | 


TI 入 村 器 列表 稍 迁 器 拧 作 | 身份 验证 方法 | 隧道 设置 | 连接 类 型 | 卫生 这 器 列表 | 往 这 器 失 作 | 身份 于 证 方法 | 隆 道 设置 | 连接 类型 
六 请 要 人 8 证 了 此 加 呈 否 功 商 及 四 永 保证 nn EM 和 
人 身份 验证 方法 首选 顺序 四 
和 而 EE Ee 3 ET 应 加 四) 
FE 加 这) 接受 不 安全 的 通讯 ， 但 是 请 求 Korberos 
O 需要 安全 接 腕 不 安全 的 通讯 ， 但 总 是 请 TT 
许可 交 话 不 安全 的 IF 包 经 过 。 
一 
| 
[arm oO . 髓 除 中】 “| 厂 使 用 “添加 册 导 ”人 
关闭 应 用 的) [WE] Re EY 
图 5.46 保存 选中 的 筛选 器 操作 项 图 5.47 “身份 验证 方法 ”选项 卡 


第 2 步 : 选择 身份 验证 方法 。Windows 2000/XP/2003 支持 3 种 身份 验证 方法 : 
Kerberos v5 协议 .CA 证 书 和 预 共享 密 钥 , 如 图 5. 48 所 示 。 

@ 隧道 设置 

单 击 “ 隧 道 ” 选 项 卡 , 弹 出 如 图 5. 49 所 示 的 窗口 。 当 只 与 特定 的 计算 机 交换 通信 并 且 知 
道 该 计算 机 的 IP 地 址 时 ,选择 “隧道 终点 由 此 IP 地 址 指定 ”并 输入 目标 计算 机 的 IP 地 址 。 

回 连接 类 型 

为 每 一 个 规则 指定 的 连接 类 型 可 以 决定 计算 机 的 连接 (网 卡 或 调制 解 调 器 ) 是 否 接 受 
IPSec 策略 的 影响 。 每 一 个 规则 拥有 一 种 连接 类 型 ,此 类 型 指定 规则 是 否 应 用 到 LAN 连 
接 .远程 访问 连接 或 所 有 的 网 络 连 接 上 ,如 图 5. 50 所 示 。 

(3) 新 全 属性 的 常规 设置 

第 1 步 : 新 创建 的 IP 安全 策略 属性 对 话 框 还 有 一 个 “常规 ”选项 卡 。 在 此 可 以 输入 新 
IP 安全 策略 的 名 称 和 描述 ,更 改 “ 检 查 策略 更 改 间隔 ”, 如 图 5. 51 所 示 。 
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身份 验证 方法 属性 


身份 下 证 方法 [ 严 靖 过 器 列表 | 第 过 器 操作 | 身份 验证 方法 | 院 道 设置 | 连接 类 型 | 

身份 验证 方法 指定 了 计算 机 辣 加 何 建立 信任 。 对 | 理 通 ll 染 作 计 算 机 ， 

aA 三 
IPSec 本 
从 Active Directory 默认 值 Kerberos V5 协议 ) @) 
个 合用 由 此 证 书 二 发 机 构 CA) 癸 发 的 证 书 ) ee 
一 售 隧道 终点 由 此 匡 地 址 指定 中) 
ES 
个 使 用 此 字符 审 领 共享 密 钼 ) @) 
[CD 3 Co 


图 5.48 “身份 验证 方法 属性 ”对 话 框 


新 IP 安全 条 栈 其 性 


图 5. 49 “隧道 设置 "选项 卡 


[IP 痢 风 器 列表 | 第 选 器 换 作 | 身份 验证 方法 | 隆 道 设置 | 连接 类 并 [超凡 | 

ma 此 规则 只 适用 于 所 选 类 型 的 连接 上 的 网 络 传输 。 Ba JIF 安全 第 略 党 规 尿 性 

个 所 有 隐 信 连 接 中 名 称 中 

个 局 城 网 LAD Q) 所 IP 安全 策略 

个 远 查访 问 @) 描述 四 ) 
检查 策 咯 更 改 间隔 C) 
1 
用 这 些 设置 失 行 窗 钥 立 的 
高 级 中) 

积 消 应 用 EL 机 
图 5. 50 “连接 类 型 "选项 卡 图 5.51 “新 全 安全 策略 属性 ”对话 框 的 “常规 ”选项 卡 


第 2 步 : 单 击 “ 高 级 "按钮 ,在 弹出 的 如 图 5. 52 


高 级 设置 。 其 中 : 
。 主 密 钥 完全 向 前 保密 : 选择 保证 没有 重用 
以 前 使 用 的 密 钥 材料 或 密 钥 来 生成 其 他 
。 身份 验证 和 生成 新 密 钥 间 隔 (A) : 确定 在 
其 后 将 生成 新 密 钥 的 时 间 间 隔 。 
。 身份 验证 和 生成 新 密 钥 间隔 (U): 限制 主 


富 铀 交换 设置 区 区 ] 
身份 验证 和 生成 新 灾 钼 避 隔 ) 
460 分 钟 
身份 验证 和 生成 新 富 铀 间隔 
PP ”个 全 话 
用 这 些 安全 措施 保护 身份: 


方法 吕 ) 


Windows XP 的 Internet 密 角 交换 [IKE) 
由 晶 cresoft 和 Cisce Systems，Inc， 共 同 开发 。 


Cw ] ww | 


图 5. 52 “ 密 钥 交换 设置 ”对话 框 
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密 钥 可 以 被 作为 会 话 密 钥 来 重新 使 用 的 次 数 。 如 果 已 经 启用 了 “ 主 密 钥 完 全 向 前 保 
密 ”, 则 会 忽略 该 参数 。 

。 用 这 些 安全 措施 保护 身份 : 单 击 “ 方 法 ”按钮 ,在 弹出 的 “ 密 钥 交 换 安全 措施 ”对 话 框 
中 对 安全 措施 首选 顺序 以 及 IKE 安全 算法 细节 做 出 选择 。 其 中 完整 性 算法 可 选 
MD5 或 SHA-1, 加 密 算法 可 选 3DES 或 DES。 


2. IPSec 的 防火 墙 配置 


Windows 系统 可 提供 给 用 户 免 费 使 用 的 防火 墙 , 它 不 同 于 通常 所 说 的 内 置 防火 墙 ,但 
是 却 可 以 提供 更 好 的 安全 策略 ,这 就 是 IP Filter。IP Filter 包含 于 IPSec 中 ,是 Windows 
2000 以 后 新 加 入 的 技术 。 其 原理 很 简单 , 当 接 收 到 一 个 IP 数据 包 时 ,IP Filter 使 用 其 头 部 
在 一 个 规则 表 中 进行 匹配 。 当 找到 一 个 相 匹 配 的 规则 时 ,IP Filter 就 按照 该 规则 制定 的 方 
法 对 接收 到 的 IP 数据 包 进行 处 理 。 这 里 的 处 理工 作 只 有 丢弃 或 转发 两 种 选择 。 

IP Filter 只 是 IPSec 的 一 部 分 功能 。 对 于 不 在 域 中 的 个 人 用 户 ,IPSec 的 数据 加 密 是 用 
不 到 的 。 下 面 介绍 如 何 用 IP Filter 构建 防火 墙 ,实现 常用 防火 墙 的 部 分 功能 。 

(1) IP Filter 防火 墙 配置 的 准备 工作 

由 于 IP Filter 属于 IPSec 的 一 部 分 ,所 以 在 使 用 及 配置 IP Filter 前 需要 保证 IPSec 服 
务 的 正常 运行 。 

第 1 步 : 单 击 “开始 ”一 “运行 ”命令 ,输入 services. msc 并 按 回 车 键 ,进入 服务 设置 窗 
口 。 在 服务 设置 窗口 中 找到 名 为 [PSEC Services 的 服务 ,保证 它 是 启动 的 ,如 图 5. 53 所 示 。 


文件 @) 换 作 人 查看 WW) 帮助 0D 
|] 国 轩 让 /四 


条 服务 (生地) 
IPSEC Services 名 称 / 描述 状态 。 启动 类 型 全 
Se SbF SSL 此 手动 
上 网 Sy INAFT CD-Burni : 时 已 禁用 
C3 - 
描述 监 至 
管理 IP 安全 策略 以 及 启动 乱 Logical Diskl.， 配 手动 
ISADIP/Oskley CIE) 和 IF 安全 驱 人 essenger 传 已 禁用 
动 程序 。 Sls software Sh .， 管 手动 
Set Logon 支 手动 
letleetine Fen 使 手动 
人 Jetrork Aceess..，。 光 手动 
纺 y etrork Connec .， 管 . 已 启动 自动 
tear mm 为 已 起 用 证 


图 5. 53 服务 设置 窗口 


第 2 步 : 如 果 该 服务 没有 启动 , 则 双击 其 名 称 , 可 单 击 “启动 ”按钮 启动 该 服务 ,然后 再 
将 其 启动 方式 设置 为 "自动 ,这 样 才能 保证 下 面 设置 好 的 IP Filter 防火 墙 过 滤 信 息 可 以 随 
系统 启动 而 启动 ,从 而 保证 对 数据 包 的 过 滤 功 能 生效 ,如 图 5. 54 所 示 。 

如 果 用 户 在 服务 名 称 中 没有 找到 IPSEC Services 服务 也 不 要 紧 , 该 项 服务 可 以 在 
Windows 2000 全 系列 /XPPro/. NetServer 中 找到 。 
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IPSEC Services 的 属性 (本 地 计算 机 ) 


常规 | 登录 【恢复 | 依存 关系 | 


服务 名 称 : 了 eli cyAEent 
显示 名 称 思 :JEEEGEEEEETS 
描述 四 ) 六 本 下 安 到 策略 区 及 启动 ADE70saaey 到 


可 执行 文件 的 路 径 四 ) 
Er VINDONS Vsyston32\lsass. exe 


启动 类 型 人 E): [自动 加 


服务 状态 已 启动 
Cao 暂停 [了 可 


当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


El 


确定 _] [取消 


图 5.54 IPSEC Services 属性 


(2) 配置 IP Filter 

有 过 配置 防火 墙 或 过 滤 策 略 经 历 的 读者 在 配置 IP Filter 上 也 是 非常 容易 的 。 配 置 策 
略 和 访问 控制 列表 以 及 过 滤 规 则 是 一 样 的。 可 通过 MMSC 加 载 IPSec 模块 来 实施 此 功能 。 

第 1 步 : 单 击 “ 开 始 ” 一 “运行 "命令 ,输入 MMC 并 按 回 车 键 , 启 动 管理 单元 控制 台 窗 
口 , 如 图 5. 55 所 示 。 


文件 到 操作 避 查看 名 收 庆 天 0) 窗口 和 必 助 吕 
+ 沾 j| 加 | 区 | 岛国 
向 控制 台 根 节点 


司 区 工 1 


此 视图 中 没有 可 显示 的 项 目 。 


图 5.55 控制 台 窗 口 


第 2 步 : 默认 情况 下 只 有 “控制 台 根 节点 ”一 个 选项 。 可 通过 主 菜单 的 “文件 "下拉 后 选 
择 “ 添 加 /删除 管理 单元 ”选项 来 加 载 IPSec 模块 。 

第 3 步 : 在 出 现 的 “添加 /删除 管理 单元 "对话 框 的 “独立 ”选项 卡 下 单 击 “ 添 加 ”按钮 ,如 
图 5. 56 所 示 。 

第 4 步 : 在 弹出 的 如 图 5. 57 所 示 的 “添加 独立 管理 单元 ”选项 中 选择 “IP 安全 策略 管 
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理 ”, 单 击 “ 添 加 ”按钮 进行 添加 。 


浴 加 / 副 除 管理 单元 
独立 | 扩展 
使用 此 页 来 添加 或 朋 除 控制 台 的 独立 管理 单元 添加 独立 管理 单元 回回 
E77 可 用 的 独立 管理 单元 : 
jG) a == | 管理 单元 供应 商 画 
四 闻 Activex 控件 Microsoft Corpora， 
人 TIP 安全 策略 管理 | Microsoft Cerpora 
量 开 安全 监视 器 Nicrosoft Corpors. 
国 Yeb 地 址 的 涟 接 Microsoft Corpors. 
者 TI 控件 Merosoft Corpora， 
国安 全 模板 Mierosoft Corpora. 
安全 配置 和 分 析 Microsoft Corpora, 
本 地 用 户 和 组 Microsoft Corpore. 
描述 二 策略 的 结果 入 ierosoft Corpora .， 国 
i Tsee) 管理 ,为 与 别 的 计算 机 进行 安 
I a 
ED 
E37 关闭 
-人 
图 5. 56 “添加 /删除 管理 单元 "对 话 框 图 5.57 “添加 独立 管理 单元 ”对 话 框 


第 5 步 : 系统 会 要 求 用 户 选择 的 这 个 管理 单元 要 管理 的 计算 机 或 者 域 。 由 于 这 里 是 对 
本 地 计算 机 操作 的 ,所 以 选择 “本 地 计算 机 ”后 单 击 “ 完 成 ”按钮 ,如 图 5. 58 所 示 。 
选择 计算 机 或 红 


选择 这 个 管理 单元 要 管理 的 计算 机 或 域 
当 保存 这 个 控制 台 时 ， 也 会 保存 位 置 . 


个 此 计算 机 是 其 成 员 的 Active Directory 域 0D 
个 另 一 个 Active Directory 域 用 DNS 名 称 ， 例 如 “exanple microseft com”) Q) 


个 另 一 台 计算 机 0D) 


RN 


5. 58 “选择 计算 机 或 域 " 对 话 框 


第 6 步 : 添加 后 就 可 在 控制 台 窗 口 的 “控制 台 根 节点 "下 看 到 “IP 安全 策略 ,在 本 地 计算 
机 ”项 ,如 图 5. 59 所 示 。 在 “IP 安全 策略 ,在 本 地 计算 机 ”上 右 击 并 选择 “管理 IP 筛选 器 表 
和 筛选 器 操作 ”开始 配置 防火 墙 策略 ,如 图 5. 60 所 示 。 

用 户 也 可 以 单 击 “ 开 始 ”>“ 运 行 ” 命 令 后 ,输入 secpol. msc 并 按 回 车 键 ,在 打开 的 窗口 中 
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而 控制 台 1 - [控制 台 根 节点 \IP 安全 策略 ， 在 本 地 计算 机 ] 
[入] 文件 时) ”操作 局 ) 查看 他 ) 收 阐 夹 @) 窗口 @ 大助 中 
中, 向 | 国 | 四 区 国 困 | 这 诗 


国 控制 人 根 节点 名 称 3 
田 电 下 安全 策略 在 本 地 计算 机 | 全 evr SET 


他 安全 服务 器 (需要 。 对 所 有 IT 通讯 总 是 使 
侈 客户 谊 ( 羽 响应 ) 正 党 通讯 (不 安全 的 )。 
多 服务 器 捕 求 安全 ) ”对 所 有 匡 通讯 总 是 使 


图 5.59 添加 IP 安全 策略 


i 控制 台 1 - [控制 台 根 节点 \IP 安全 策略 ， 在 本 地 计算 机 ] 
| 入 文件 有 换 作 避 ) 查看 收藏 天 0) 窗口 WD 帮助 如 
咎 向 | 国有 四 胞 名 图 疙 计 


国 控制 台 根 节点 | 医 王 撕 术 策略 已 指 泊 
-: ra ps 

创 圣 IP 安全 策略 5) i 

对 所 有 IP 通讯 总 是 使 否 

管理 IT 第 沈 器 表 和 第 碗 器 操作 人 ) 正常 通讯 不 安全 的 )。 理 

所 有 任务 区) ， 从 ) ”对 所 有 IP 通讯 总 是 使 否 

查看 外 » 

从 这 里 创建 窗口 入) 


新 任务 板 视图 CT) 


剧 新 到 ) 
导出 列表 届 ) 


图 5.60 选择 “管理 IP 筛选 器 表 和 筛选 器 操作 ” 


可 以 直接 选择 “管理 IP 筛选 器 表 和 筛选 器 操作 ”。 这 种 方法 更 加 简单 快捷 。 

第 7 步 : 在 弹出 的 “管理 IP 筛选 器 表 和 筛选 器 操作 ?设置 窗口 中 ,默认 情况 下 有 对 “所 
有 ICMP 通信 和 量 ”" 和 对 “所 有 IP 通信 和 量 ” 进 行 过 滤 的 。 可 以 通过 “添加 ”按钮 添加 新 的 规则 ， 
如 图 5. 61 所 示 。 

第 8 步 : 系统 会 自动 生成 一 个 名 为 “新 IP 筛选 器 列表 ”的 规则 ,可 在 该 窗口 中 单 击 * 添 
加 ”按钮 ,继续 加 入 一 个 具体 的 过 滤 项 ,如 图 5. 62 所 示 。 

第 9 步 : 系统 将 自动 启动 IP 筛选 器 向 导 , 单 击 * 下 一 步 ? 按 钮 ,弹出 如 图 5. 63 所 示 选 择 
IP 地 址 的 窗口 。 


管理 人 P 策 过 加 表 和 蔽 过 加 控 作 也 区 
管理 苹 第 过 器 列表 | 管理 六 过 器 操作 | 
的 了 区 


可 用 的 I 第 选 器 列表 被 所 有 的 IP 安全 策略 共享 。 


了? 第 选 器 列表 L) 

称 描述 
所 有 ICMP 通信 重 计算 机 与 任何 其 地 计 . - 
所 有 IF 通讯 量 区 地 该 计 算 机 到 任何 其 地 计 
新 IP 第 过 器 列表 (0) 


添加 四 )， 篇 辑 EE) MB B) 
图 5. 61 “管理 IP 筛选 器 表 和 筛选 器 操作 ”对 话 框 


员 IP 筛选 器 列表 

E33 a 这 样 ， 多 个 子 网 、I 地 址 和 协议 可 被 
全 ;综合 I 9 

区 下 广远 当 列 甫 ] 

Re E27 

第 选 器 G) 人 使 用 “ 永 加 向 导 ” 邓 ) 
镍 像 -描述 通讯 协议 源 闹 口 目标 端口 
< » 

| 


图 5.62 添加 “IP 筛选 器 列表 ” 


J 通信 和 源 
指定 IF 通讯 的 源 地 址 。 
En 


源 地 址 E) 


[一 个 特定 的 I 地 址 可 


《上 一 步 四 取消 


图 5.63 选择 IP 源 地 址 窗口 
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第 10 步 : 指定 卫 通 信 的 源 地 址 ,类 似 于 规则 中 的 源 地 址 。 可 供 选 择 的 有 特定 的 卫 子 
网 ,特定 的 了 P 地 址 ,特定 的 DNS 名称、 任何 IP 地址 和 本 机 IP 地 址 。 如 果 选 择 子 网 ,会 出 现 
需要 填写 IP 地 址 和 子 网 掩 码 的 对 话 框 ; 如 果 选 择 IP 地 址 , 则 出 现 要 填写 的 IP 地 址 框 ; 如 
果 选 择 DNS 名 称 , 则 出 现 需 填写 主机 名 的 框 。 

第 11 步 : 设置 完 后 单 击 “ 下 一 步 按 钮 继续 ,弹出 如 图 5. 64 所 示 的 指定 IP 通信 的 目的 
地 址 窗口 。 可 供 选 择 的 目的 地 址 类 似 源 地 址 ,有 特定 的 IP 子 网 ,特定 的 卫 地址、 特定 的 
DNS 名 称 、 任 何 IP 地 址 和 本 机 IP 地 址 。 当 用 户 想 对 某 个 域名 进行 过 滤 时 ,可 以 在 目的 地 
址 处 选择 “一 个 特定 的 DNS 名 称 ”, 然 后 在 主机 名 处 输入 对 应 的 域名 ,如 www. 163. com( 见 
图 5.64)。 设 置 完 后 单 击 “ 下 一 步 ” 按 钮 继续 。 


JP 通信 和 目标 司 
指定 IP 通讯 的 目的 地 址 。 
Es 


目标 地 址 
[人 二 的 ms 名 称 | 


主机 名 加): TREEC 


《上 一 步 @@) 职 消 


图 5.64 选择 IP 目标 地 址 窗口 


第 12 步 : 由 于 与 www. 163. com 对 应 的 有 很 多 IP 地 址 ,而 且 是 动态 的 ,因此 系统 会 首 
先 查看 本 地 DNS 缓存 , 读 取 缓 在 中 对 应 的 IP 地 址 进行 过 滤 ,如 图 5. 65 所 示 。 
第 13 步 : 选择 通信 协议 类 型 ,包括 常用 的 TCP 和 UDP, 还 可 以 设置 为 任意 ,如 图 5. 66 
所 示 。 
入 选 器 向 导 区 ] 区 | 
和 wea 加 果 类 别 是 TCP 或 UDP , 您 格 同时 指定 源 和 目标 端 
A 侣 省 ! 
a 


pt 


找到 DNS 名 称 “ww. 163. con” 的 目标 IF 地 址 
121. 195. 178. 233, 121. 195. 178. 234， 121. 195. 178.235. 


< 上 一 步 @) 取消 


图 5.65 一 个 域名 多 IP 地 址 警告 图 5. 66 ”选择 通信 协议 类 型 
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第 14 步 : 单 击 * 下 一 步 ?按钮 后 弹出 完成 IP 筛选 器 建立 向 导 窗 口 , 单 击 “完成 ?按钮 结 
束 操作 ,如 图 5. 67 所 示 。 


正在 完成 “IF 第 过 器 向 导 ” 
您 已 成 功 地 完成 I 第 选 器 向 导 - 


Rh IP 第 法 器 , 选择 “编辑 怕 性 ”然后 按 


厂 钴 验 尾 性 让 ) 


请 按 “完成 ”来 关闭 此 向 导 ， 


了 
图 5.67 完成 IP 筛选 器 建立 向 导 


第 15 步 : 这 时 可 在 刚刚 见 过 的 IP 筛选 器 列表 窗口 中 看 到 添加 的 规则 。 由 于 这 些 规 则 
都 是 在 同一 个 筛选 器 中 ,所 以 规则 可 以 同时 生效 ,如 图 5. 68 所 示 。 


邮 IP 筛选 器 列表 
二 下 列 个 第 选 器 组 成 。 这 样 ， 多 个 子 网 、IP 和 协议 可 被 
了 到 和 名 作 、 
名 称 0 
也 IP 靖 先 器 列表 
失 过 ) 
编辑 下 ) .. 
MPS EB) 
第 先 器 G) 友 使 用 “添加 向 导 ” 他) 
镜像 。 描述 通讯 协议 源 请 口 目标 端口 
是 任何 任何 任何 
是 任何 任何 任何 
是 任何 任何 任何 
是 任何 任何 任何 
< > 
确定 取消 _ | 


图 5.68 显示 添加 的 筛选 器 


第 16 步 : 单 击 “ 添 加 ”和 “关闭 ”按钮 保存 此 前 的 设置 ,可 在 “IP 筛选 器 列表 ”对话 框 中 看 
到 新 建立 的 名 为 “新 IP 筛选 器 列表 ”的 筛选 器 ,如 图 5. 69 所 示 。 

默认 情况 下 ,IP Filter 的 作用 是 单方 面 的 ,如 发 送 端 用 户 是 A .接收 端 用 户 是 B, 则 防火 
墙 只 对 A 一 B 的 流量 起 作用 ,而 忽略 对 B 一 A 的 流量 。 若 选中 Mirror( 双 向 ), 则 防火 墙 对 
A 一 B.B>A 的 双向 流量 都 进行 处 理 ( 相 当 于 一 次 添加 了 两 条 规则 ) 。 

此 时 ,在 通过 本 机 访问 www. 163. com 网 站 时 会 收 到 失败 的 回应 消息 ,这 是 因为 刚才 只 
是 简单 建立 了 过 滤 规 则 而 没有 明确 具体 信息 。 在 实际 使 用 中 明确 过 滤 的 源 地 址 、 目 的 地 址 
和 使 用 协议 后 ,就 可 以 使 用 此 方法 结合 IPSec 中 的 IP Filter 达到 防火 墙 过 滤 非 法 数据 包 的 
功能 。 
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SN 


ER 


管理 卫 第 过 器 列表 | 营 理 第 先 器 操作 | 


话 框 万 


E 列表 


网 络 通信 的 IT 往 


可 用 的 匡 第 千 器 列表 被 所 有 的 匡 安全 策略 共享 。 


玫 了 该 计 算 机 与 任何 其 地 计 ， 
区 ec 该 计算 机 到 任何 其 地 计 . 
新 IP 第 过 器 列表 


添加 中 ) 注 辑 加 ) Lh 


取 少 EL 


图 5.69 新 IP 筛选 器 列表 
(3) IP Filter 高 级 技巧 
@ 备份 设置 的 过 滤 规 则 


如 果 用 户 已 经 建立 了 很 多 条 过 滤 规 则 ,那么 如 何 将 其 保存 以 备 后 用 或 者 其 他 计算 机 使 
用 呢 ? 实际 上 操作 起 来 很 简单 , 右 击 “IP 安全 策略 ,在 本 地 计算 机 ?选项 ,选择 “所 有 任务 ”下 


的 “导出 策略 ”选项 即 可 。 若 在 其 他 计算 机 上 使 用 “所 有 任务 ”下 的 “导入 策略 ”选项 ,就 可 以 
实现 多 台 计 算 机 快速 使 用 同一 个 策略 的 功能 ,如 图 5.70 所 示 。 


六 控制 台 1 


[控制 台 根 节点 \IP 安全 策略 ， 在 本 地 计算 机 ] 


侈 文件 EE 换 作 人 ) 查看 WD 收藏 严 @) 窗口 轨 帮助 
各 和 白 加 四 驴 | 国 困 这 衬 


=|| xj 
国 控制 台 根 节点 医治 3 第 略 已 指派 
所 电 创建 IP 安全 第 略 C) 是 
所 有 IF 通讯 总 是 使 ，。 否 
营 理 IP 第 过 器 表 和 征 达 器 淮 作 员 ) 第 通讯 (不 证 至 
和 隘 匡 安全 第 路 C) 
查看 四 上 管理 IT 第 过 器 表 和 第 达 器 操作 加 ) 
从 这 里 外 建 窗口 ) 
新 任务 板 视图 YY) 
出 新 全 


导出 列表 LL) 
帮助 QD 


| 梅 所 有 策略 的 信息 导出 到 一 个 文件 中 


图 5.70 选择 “导出 策略 ” 
@ 单 防火 墙 的 多 策略 
如 果 


j 户 使 用 的 是 笔记 本 电脑 ,经 常 在 家 中 和 单位 场合 交 蔡 使 用 ,若是 使 IP Filter 单 
过 滤 系 统 拥有 多 项 策略 ,就 方便 使 用 该 防火 墙 系统 了 。 这 样 ,可 在 家 中 使 月 


日 一 套 过 滤 方 案 ， 
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在 单位 使 用 另 一 套 过 滤 方 案 。 

使 IP Filter 单 过 滤 系 统 拥 有 多 项 策略 的 方法 很 简单 ,按照 上 面 介绍 的 步骤 在 “IP 筛选 
器 列表 ”中 建立 多 个 筛选 器 ,依次 命名 为 “单位 IPSec 设置 "和 “家 庭 IPSec 设置 "。 这 样 就 可 
在 不 同 场所 使 用 不 同 过 滤 列 表 了 ,如 图 5.71 所 示 。 


EE 
管理 匡 第 过 器 列表 | 管理 王 寺 器 操作 | 
授信 的 卫 第 


可 用 的 IF 第 选 器 列表 被 所 有 的 IF 安全 第 路 共享 。 


匹配 该 计算 机 与 任何 其 他 计 - 
匹配 访 计算 机 到 任何 其 地 证 - 


了 第 选 器 列表 
新 IP 第 这 器 列表 (0) 


添加 m) 编辑 E) 拐 除 个 ) 
mm | emw 
图 5.71 建立 多 个 筛选 器 


@ 快速 还 原初 始 设置 

有 时 在 为 IP Filter 添加 了 一 些 过 滤 规 则 后 ,发 现 网 络 无 法 使 用 了 ,这 说 明 用 户 添加 规 
则 的 时 候 出 现 了 问题 。 如 果 一 个 一 个 地 删除 这 些 过 滤 规 则 是 可 以 的 ,但 是 太 麻 烦 。IP 
Filter 有 一 个 默认 设置 ,用 户 可 以 通过 IP Filter 中 的 “恢复 默认 设置 "功能 来 完成 还 原初 始 
设置 。 方 法 是 在 “IP 安全 策略 ,在 本 地 计算 机 ”上 右 击 选择 “所 有 任务 "下 的 “还 原 默 认 策 略 ” 
即 可 。 这 样 原 来 设置 的 所 有 策略 都 将 被 清空 ,如 图 5. 72 所 示 。 


入 控制 台 1 -~ [控制 台 根 节 点 \IP 安全 策略 ， 在 本 地 计算 机 ] 
窗 文件 EE 换 作 必 ) 查看 收藏 严 四 ) 窗口 四。 帮助 0 
各 二 咎 | 国 | 间 区 国 困 前 诗 
国 控制 台 根 节点 名 称 摘 述 
四 量 | 
创建 节 实 全 第 四 (C) kg 
管理 IF 征 寺 器 表 和 请 碗 器 换 作 和 通讯 《下 GE) 。 


the ens 
ee. | 
| 导入 策略 加 ) 
新 任务 板 视 图 避 )- = 导出 第 路 下) 
刷新 全 ) 
导出 列表 入 ). 


帮助 


所 有 IP 通讯 总 是 使 


5.72 ”还原 默认 策略 
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习题 和 思考 题 
OR 


一 、 问 答题 

1. 简 述 TCP/IP 协议 的 层次 结构 和 主要 协议 的 功能 。 

2. 简 述 EFS 系统 的 特性 。 

3. Kerberos 系统 主要 提供 什么 服务 ? 

4. IPSec 的 主要 作用 是 什么 ? 

二 、 填 空 题 

1. TCP/IP 协议 集 由 上 百 个 协议 组 成 ,其 中 最 著名 的 协议 是 ( ) 协 议和 ( ) 协 议 。 

2. IP 协议 提供 ( Yt ) 和 ( ) 服 务 。 

3. TCP/IP 的 网 络 接口 层 安全 一 般 可 做 到 点 对 点 间 较 强 的 ( yat ) 和 连续 的 信 
道 认证 。 

4. TCP/IP 协议 的 网 络 层 提供 基于 ( ) 的 安全 服务 ,相应 的 安全 协议 可 用 来 在 
Internet 上 建立 安全 的 ( ) 通 道 和 VPN。 

5. TCP/IP 协议 的 传输 层 安全 机 制 的 主要 优点 是 提供 基于 ( ) 的 安全 服务 。 

6. TCP/IP 协议 的 应 用 层 提 供 对 每 个 应 用 (包括 应 用 协议 ) 进 行 ( ) 的 安全 服务 ,加 
入 新 的 安全 功能 。 

7. 已 实现 的 TCP/IP 应 用 层 安全 技术 有 ( ) .SEPP.( ) 和 S-HTTP 协议 等 。 

8. 加 密 文件 系统 (EFS) 是 Windows 文件 系统 内 置 的 ( ) , 它 以 ( ) 为 基础 ,提供 
一 种 透明 的 ( ) 服 务 。 

9. EFS 作为 操作 系统 级 的 安全 服务 , 当 保存 文件 时 EFS 将 自动 对 文件 进行 ( »3 
用 户 重新 打开 文件 时 系统 将 对 文件 进行 ( ) 。 

10. 使 用 EFS 加 密 功能 的 两 个 条 件 分 别 是 ( ) 和 ( 站 

11. Kerberos 是 一 种 提供 ( ) 的 系统 ,通过 密 钥 系统 为 Client/Server 应 用 程序 提供 
强大 的 认证 服务 。Kerberos 是 一 种 基于 ( ) 的 第 三 方 认证 协议 。 此 外 , 它 还 能 够 提供 对 
通信 数据 的 ( ) 保 护 。 

12, IP 安全 协议 (IPSec) 是 一 个 网 络 安全 协议 标准 ,其 主要 功能 是 为 IP 通信 提供 
《 ) ,保护 TCP/IP 通信 和 免 遭 ( ) ,有 效 抵御 ( ) ,同时 保持 其 易 用 性 。 

13, IPSec 是 由 ( JR st ) 和 用 于 网 络 认证 及 加 密 的 一 些 算法 组 成 的 系列 
协议 。 


js 


4. IPSec 可 用 于 IPv4 和 ( ”) 环 境 , 它 有 ( ”) 和 ( ) 两 种 工作 模式 。 
5. IPSec 可 对 数据 进行 ( )。AH 协议 用 于 ( ) ,ESP 协议 用 于 ( ys 


Pn 


EFS 系统 可 提供 ( Ys 
认证 服务 功能 。” B. 证 书 服务 功能 ” C. 数据 完整 性 服务 。” D. 加 密 服 务 功能 


三 、 单 项 选择 题 

1. IPSec 服务 可 提供 ( Ys 

A. 非 否 认 服 务 功能 B. 证 书 服务 功能 

C. 数据 完整 性 服务 功能 D. 加 密 和 认证 服务 功能 
各 

A. 
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3. IPSec 是 由 AH、ESP、IKE 和 用 于 网 络 认证 及 加 密 的 一 些 算法 组 成 的 系列 协议 。 密 
钥 的 管理 和 交换 功能 是 由 ( ) 提 供 的 。 

A. AH B. ESP C. IKE D. PKI 

4. 由 于 IP 协议 提供 无 连接 的 服务 ,在 传送 过 程 中 若 发 生 差错 就 需要 ( ) 协 议 向 源 
节点 报告 差错 情况 ,以 便 源 节点 对 此 做 出 相应 的 处 理 。 

A. TCP B. UDP C. ICMP D. RARP 

四 、 实 验 题 

1. 设置 软件 限制 策略 实验 : 利用 Gpedit. msc 打开 组 策略 编辑 器 ,依次 展开 “计算 机 配 
置 ">“Windows 设置 "~“ 安 全 设置 ">“ 软 件 限制 策略 ”路径 ,在 “操作 ”菜单 选择 “创建 新 的 
策略 ”。 

2. EFS 加 密 和 解密 实验 : 利用 EFS 功能 加 密 文件 /文件 夹 . 解 密 加 密 的 文件 /文件 夹 、 
找 回 EFS 加 密 文件 。 

3. IPSec 实验 : 利用 系统 的 “本 地 安全 设置 "功能 进行 IP 安全 策略 和 规则 设置 。 
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网 络 安全 系统 是 一 个 复杂 的 系统 , 它 涉及 系统 安全 和 风险 评估 、 系 统 安全 策略 ,安全 防 
护 和 安全 检测 技术 ,以 及 具体 的 安全 措施 。 前 述 各 章 介 绍 的 网 络 访问 控制 网络 实 体 安全 、 
网 络 安全 管理 ,操作 系统 安全 、 数 据 备份 和 加 密 、 数 字 签 名 和 身份 验证 等 大 部 分 都 是 安全 防 
护 的 内 容 。 安 全 防护 可 以 预防 和 避免 大 多 数 的 不 安全 事件 ,但 不 能 阻止 所 有 的 不 安全 事件 ， 
特别 是 像 病 毒 和 黑客 等 利用 系统 缺陷 和 攻击 手段 侵入 网 络 系统 的 恶性 事件 。 一 旦 病毒 或 黑 
客 侵入 网 络 系统 ,网 络 管理 员 就 要 根据 入 侵 事 件 的 特征 对 系统 进行 人 侵 检测 ， 通常 也 可 使 
用 有 关 软 件 工 具 对 系统 进行 安全 扫描 和 监听 (或 嗅 探 )。 通 过 对 网 络 系统 不 断 的 检测 ,扫描 
和 监听 ,可 发 现 入 侵 者 的 行为 。 网 络 管理 员 一 旦 检测 和 监控 到 入 侵 行为 ,就 要 采取 措施 清除 
入 侵 的 危害 和 进行 恢复 处 理 。 

本 章 将 介绍 网 络 病毒 .黑客 及 网 络 攻击 、 网 络 防火 墙 \ 人 侵 检 测 系统 、 网 络 扫描 、 网 络 监 
听 ( 包 括 嗅 探 ) 等 网 络 攻击 及 防范 方面 的 内 容 。 


6.1 网 络 病毒 与 防范 


计算 机 病毒 是 一 种 计算 机 程序 , 它 不 仅 能 破坏 计算 机 系统 ,而 且 能 将 病毒 传播 .感染 其 
他 系统 。 计 算 机 病毒 通常 隐藏 在 其 他 看 起 来 无 害 的 程序 中 ,能 生成 自身 的 复制 品 并 将 其 捅 
入 其 他 的 程序 中 ,执行 恶意 的 行动 。 

几乎 所 有 的 人 都 听 说 过 “计算 机 病毒 "这 个 名 词 。 使 用 过 计算 机 的 人 大 多 都 领教 过 计算 
机 病毒 的 厉害 。 对 网 络 管理 员 来 说 ,防御 计算 机 病毒 有 时 是 比 其 他 管理 更 困难 的 任务 。 对 
用 户 来 说 ,了 解 和 预防 计算 机 病毒 的 威胁 显得 格外 重要 。 

任何 计算 机 病毒 都 是 人 为 制造 的 .具有 一 定 破坏 性 的 程序 。 概 括 起 来 ,计算 机 病毒 具有 
破坏 性 、 传 染 性 .隐蔽 性 、 潜 伏 性 不 可 预见 性 和 针对 人 性 等 特征 。 


6.1.1 网 络 病毒 概述 


随 着 Internet 技术 的 发 展 , 计 算 机 病毒 的 含义 也 在 逐步 发 生变 化 ,与 计算 机 病毒 特征 和 
危害 有 类 似 之 处 的 特洛伊 木马 和 蠕虫 ,从 广义 角度 而 言 也 可 归 为 计算 机 病毒 之 列 。 特 洛 伊 
木马 通常 又 称 为 黑客 程序 ,其 关键 是 采用 隐藏 机 制 执行 非 授权 操作 ; 蠕虫 通过 网 络 来 扩散 
和 传播 特定 的 信息 或 错误 ,进而 造成 网 络 服务 遭 到 拒绝 ,并 出 现 死 锁 现象 或 使 系统 崩溃 ,是 
虫 对 网 络 系统 的 危害 日 益 严重 。 
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网 络 病毒 实际 上 是 一 个 笼统 的 概念 ,可 以 从 两 方面 理解 : 一 是 专门 指 在 网 络 上 传播 ,并 
对 网 络 进行 破坏 的 病毒 ; 二 是 指 与 Internet 有 关 的 病毒 ,如 HTML 病毒 .电子 邮件 病毒 、 
Java 病毒 等 。 提 起 网 络 病毒 ,使 用 网 络 系统 (包括 Internet) 的 用 户 想必 并 不 陌生 ,甚至 很 多 
用 户 深 受 其 害 。 人 们 也 使 用 了 许多 种 防 病毒 软件 ,但 仍 经 常 受到 病毒 的 攻击 。 


1. 网 络 病毒 的 传播 


Internet 的 开放 性 为 病毒 广泛 传播 提供 了 方便 ,Internet 本 身 的 安全 漏洞 也 为 产生 新 的 
病毒 提供 了 良好 条 件 ,加 之 一 些 新 的 网 络 编程 软件 (如 Java Script、ActiveX) 也 为 计算 机 病 
毒 渗透 到 网 络 的 各 个 角落 提供 了 便利 。 

在 网 络 中 计算 机 病毒 的 入 侵 点 有 服务 器 、 电 子 邮 件 、.BBS 上 下 载 的 文件 ,WWW 站 点 、 
FTP 文 件 下 载 . 网 络 共享 文 件 及 常规 的 网 络 通 信 、 次 版 软件 .示范 软件 和 其 他 共享 设备 。 
Internet 上 有 众多 的 软件 .工具 可 供 下 载 ,有 大 量 的 数据 交换 ,这 给 病毒 的 大 面积 传播 提供 
了 可 能 和 方便 。Internet 本 身 也 衍生 出 一 些 新 的 病毒 ,如 Java 和 ActiveX 病毒 。 这 些 病 毒 
不 需要 寄主 程序 ,可 通过 Internet 到 处 肆虐 寄主 ,可 以 与 传统 病毒 混杂 在 一 起 不 被 人 们 觉 
察 , 更 有 甚 者 ,它们 可 跨越 操作 平台 ,一 旦 传染 , 便 可 毁坏 所 有 操作 系统 。 网 络 病毒 一 旦 突破 
网 络 安全 系统 ,传播 到 网 络 服务 器 ,进而 在 整个 网 络 上 草 延 ,再 生 , 就 会 使 网 络 资源 遭 到 严重 
破坏 。 

除 通过 电子 邮件 传播 外 ,病毒 人 侵 网 络 的 途径 还 有 : 病毒 通过 工作 站 传播 到 服务 器 硬 
盘 , 再 由 服务 器 的 共享 目录 传播 到 其 他 工作 站 ; 网 络 上 下 载 带 病毒 的 文件 的 传播 ; 入 侵 者 
通过 网 络 漏洞 的 传播 等 。 


2. 网 络 病毒 的 特点 


计算 机 网 络 的 主要 功能 是 资源 共享 和 数据 传输 。 一 旦 共享 资源 感染 了 病毒 ,网 络 各 节 
点 间 信 息 的 频繁 传输 会 将 病毒 传染 到 所 共享 的 机 器 上 ,从 而 形成 多 种 共享 资源 的 交叉 感染 。 
网 络 病毒 的 迅速 传播 ,将 造成 比 单机 病毒 更 大 的 危害 ,因此 网 络 环境 下 计算 机 病毒 的 防治 就 
显得 更 加 重要 了 。 

网 络 环境 下 的 计算 机 病毒 有 以 下 特点 。 

(1) 传播 方式 复杂 ,传播 速度 快 . 范 围 广 

病毒 人 侵 网 络 主要 是 通过 电子 邮件 、 网 络 共享 、 网 页 浏览 服务 器 共享 目录 等 方式 ,病毒 
的 传播 方式 多 且 复杂 。 在 网 络 环境 下 病毒 可 以 通过 网 络 通信 机 制 ,借助 于 网 络 线路 进行 迅 
速 传输 和 扩散 ,特别 是 通过 Internet, 一 种 新 出 现 的 病毒 可 以 迅速 传 遍 全 球 各 地 。 

(2) 破坏 危害 大 

网 络 病毒 将 直接 影响 网 络 的 工作 , 轻 则 降低 速度 ,影响 工作 效率 ,造成 重要 数据 丢失 ， 
则 破坏 服务 器 系统 资源 ,造成 网 络 系统 瘫痪 ,使 众多 工作 毁 于 一 旦 ,甚至 有 些 信 息 系统 和 网 
络 被 人 为 控制 。 

(3) 病毒 变种 多 ,病毒 功能 多 样 化 

利用 种 类 繁多 且 丰 富 的 编程 语言 编制 的 计算 机 病毒 种 类 繁杂 ,这 些 病毒 容易 编写 ,也 容 
易 修改 、 升 级 ,从 而 生成 许多 新 的 变种 。 有 些 现代 病毒 有 后 门 程序 的 功能 ,这 些 病毒 一 旦 侵 
入 计算 机 系统 ,病毒 控制 者 可 以 从 人 侵 的 系统 中 窃取 信息 ,进行 远程 控制 。 
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(4) 清除 难度 大 ,难以 控制 

在 网 络 环境 下 病毒 感染 的 站 点 数量 多 ,范围 广 , 只 要 有 一 个 站 点 的 病毒 未 清除 干净 , 它 
就 会 在 网 络 上 再 次 被 传播 开 来 ,甚至 是 刚刚 完成 清除 任务 的 站 点 ,因此 现代 病毒 的 清除 工作 
难度 极 大 ; 且 病 毒 一 旦 在 网 络 环境 下 传播 .蔓延 ,就 很 难 对 其 进行 控制 。 


3. 网 络 病毒 的 预防 


由 于 网 络 病毒 通过 网 络 传播 ,因此 建立 网 络 系统 病毒 防护 体系 ,采用 有 效 的 网 络 病毒 预 
防 措施 和 技术 显得 尤为 重要 。 网 络 管理 人 员 和 操作 人 员 要 在 思想 上 有 防 病毒 意识 ,以 预防 
为 主 。 防 范 网 络 病毒 主要 从 技术 和 管理 两 方面 和 人手。 

采取 有 效 .成 熟 的 技术 措施 预防 网 络 病毒 是 十 分 重要 的 。 针 对 病毒 的 特点 ,利用 现 有 的 
技术 和 开发 新 的 技术 ,使 防 病毒 软件 在 与 病毒 的 抗争 中 不 断 得 到 完善 ,更 好 地 发 挥 保护 作 
用 。 现 在 已 有 很 多 较 成 熟 的 防 病毒 技术 和 软件 系统 被 广大 计算 机 用 户 使 用 。 

用 户 在 使 用 网 络 系统 时 也 要 有 严格 的 管理 措施 。 病 毒 预 防 的 管理 问题 ,涉及 管理 制度 、 
行为 规章 和 操作 规程 等 。 如 计算 机 机 房 或 网 络 系统 要 制定 严格 的 管理 制度 ,避免 蓄意 制造 、 
传播 病毒 的 事件 发 生 ; 对 接触 计算 机 系统 的 人 员 进行 选择 和 审查 ; 对 系统 工作 人 员 和 资源 
进行 访问 权限 划分 ; 下 载 的 文件 要 经 过 严格 检查 ,甚至 下 载 文件 .接收 邮件 要 使 用 专门 的 终 
端 和 账号 ,接收 到 的 程序 要 严格 限制 执行 等 。 通 过 建立 安全 管理 制度 ,及 早 发 现 和 清除 安全 
隐患 ,可 减少 或 避免 计算 机 病毒 的 入侵 。 此 外 ,在 管理 方面 也 涉及 法 律 和 行政 法 规 、 安 全 宣 
传 和 培训 等 问题 。 


4. 网 络 病毒 的 清除 


当 网 络 系统 感染 病毒 后 ,可 采取 以 下 措施 进行 紧急 处 理 , 恢 复 系统 或 受 损 部 分 。 

(1) 隔离 

当 某 计算 机 感染 病毒 后 ,可 将 其 与 其 他 计算 机 进行 隔离 ,避免 相互 复制 。 当 网 络 中 某 节 
点 感染 病毒 后 ,网 络 管理 员 必 须 立即 切断 该 节点 与 网 络 的 连接 ,以 避免 病毒 扩散 到 整个 
网 络 。 

(2) 报警 

病毒 感染 点 被 隔离 后 ,要 立即 向 网 络 系统 安全 管理 人 员 报 警 。 

(3) 查 毒 源 

接 到 报警 后 ,系统 安全 管理 人 员 可 使 用 相应 防 病毒 系统 鉴别 受 感染 的 机 器 和 用 户 ,检查 
那些 经 常 引起 病毒 感染 的 节点 和 用 户 ,并 查找 病毒 的 来 源 。 

(4) 采取 应 对 方法 和 对 策 

网 络 系统 安全 管理 人 员 要 对 病毒 的 破坏 程度 进行 分 析 检 查 ,并 根据 需要 决定 采取 有 效 
的 病毒 清除 方法 和 对 策 。 如 果 被 感染 的 大 部 分 是 系统 文件 和 应 用 程序 文件 , 且 感 染 程度 较 
深 , 则 可 采取 重 装 系统 的 方法 来 清除 病毒 ; 如 果 感 染 的 是 关键 数据 文件 ,或 破坏 较 严 重 时 ， 
可 请 防 病毒 专家 进行 清除 病毒 和 恢复 数据 的 工作 。 

(5) 修复 前 备份 数据 

在 对 被 感染 的 病毒 进行 清除 前 , 尽 可 能 将 重要 的 数据 文件 备份 ,以 防 在 使 用 防毒 软件 或 
其 他 清除 工具 查 杀 病毒 时 ,也 将 重要 数据 文件 误杀 。 


第 6 章 ”网 络 攻防 技术 与 应 用 实践 


(6) 清除 病毒 

重要 数据 备份 后 ,运行 查 杀 病毒 软件 ,并 对 相关 系统 进行 扫描 。 发 现 有 病毒 ,立即 清除 。 
如 果 可 执行 文件 中 的 病毒 不 能 清除 ,应 将 其 删除 ,然后 再 安装 相应 的 程序 。 

(7) 重启 和 恢复 

病毒 被 清除 后 ,重新 启动 计算 机 ,再 次 用 防 病毒 软件 检测 系统 是 否 还 有 病毒 ,并 将 被 破 
坏 的 数据 进行 恢复 。 

当 确定 病毒 已 侵入 系统 后 ,可 使 用 防 病毒 软件 对 计算 机 病毒 进行 查 杀 。 目 前 成 熟 的 防 
病毒 软件 已 经 可 以 做 到 对 所 有 的 已 知 病毒 进行 检测 和 清除 ,瑞星 .诺顿 金山 毒霸 、KV 等 防 
病毒 软件 均 有 2010 新 版 问世 。 


6.1.2 木马 和 蠕虫 
1. 木马 


特洛伊 木马 (简称 木马 ) 是 根据 古 希 腊 神 话 中 的 木马 来 命名 的 ,如 今 黑 客 程序 借用 其 名 ， 
有 “一 经 潜入 ,后 患 无 穷 " 之 意 。 这 种 程序 从 表面 上 看 没有 什么 ,但 是 实际 上 却 隐 含 着 恶意 企 
图 。 一 些 木 马 程序 会 通过 覆盖 系统 中 已 有 文件 的 方式 存在 于 系统 中 ,还 有 一 些 木 马 会 以 软 
件 的 身份 出 现 。 这 种 代码 通常 不 容易 被 发 现 ,因为 它 一 般 以 一 个 正常 应 用 的 身份 在 系统 中 
运行 。 

木马 与 传统 病毒 不 同 。 木 马 是 一 种 带 有 恶意 性 质 的 恶意 代码 ,通常 悄悄 地 在 寄宿 主机 
上 运行 ,在 用 户 毫 无 察觉 的 情况 下 让 攻击 者 获得 了 远程 访问 和 控制 系统 的 权限 。 它 一 般 是 
以 寻找 后 门 \ 窃 取 密 码 和 重要 文件 为 主 , 还 可 以 对 计算 机 进行 跟踪 监视 ,控制 查看 、 修 改 资 
料 等 操作 ,具有 很 强 的 隐蔽 性 、 突 发 性 和 攻击 性 。 

木马 的 传播 方式 主要 有 三 种 : 一 种 是 通过 E-mail, 控 制 端 将 木马 程序 以 附件 形式 附着 
在 邮件 上 发 送出 去 , 收 件 人 只 要 打开 附件 就 会 感染 木马 ; 第 二 种 是 软件 下 载 ,一 些 非 正式 的 
网 站 以 提供 软件 下 载 的 名 义 ,将 木马 捆绑 在 软件 安装 程序 上 ,程序 下 载 后 只 要 一 运行 这 些 程 
序 ,木马 就 会 自动 安装 ; 第 三 种 是 通过 会 话 软件 (如 QICQ) 进 行 传播 ,不 知情 的 网 友 一 旦 打 
开 带 有 木马 的 文件 就 会 感染 木马 。 

木马 也 是 一 种 后 门 程序 , 它 会 在 用 户 的 计算 机 系统 里 打开 一 个 “后 门 ”, 黑 客 就 会 从 这 个 
被 打开 的 特定 “后 门 ? 进 入 系统 ,然后 就 可 以 随心 所 和 欲 摆 布 用 户 的 计算 机 了 。 木 马 可 以 读 、 
写 、 存 储 和 删除 文件 ,可 以 得 到 用 户 的 隐私 信息 和 密码 ,而 且 还 能 够 控制 用 户 的 鼠标 和 键盘 
去 做 他 想 做 的 任何 事 。 可 以 说 用 户 能 够 在 自己 的 计算 机 上 做 什么 ,木马 也 同样 能 做 什么 。 

木马 已 对 用 户 信 息 的 安全 构成 了 极 大 隐患 ,做 好 木马 的 防范 已 经 刻不容缓 。 用 户 要 提 
高 对 木马 的 警惕 ,尤其 是 网 络 游戏 玩家 更 应 该 提高 对 木马 的 关注 。 

网 络 中 比较 流行 的 木马 程序 传播 速度 比较 快 ,影响 也 比较 严重 ,因此 尽管 人 们 掌握 了 很 
多 木马 的 检测 和 清除 方法 及 软件 工具 ,但 这 些 也 只 是 在 木马 出 现 后 被 动 的 应 对 措施 。 当 然 
最 好 的 情况 是 不 出 现 木 马 ,这 就 要 求 大 家 平时 要 有 对 木马 的 预防 意识 和 措施 ,做 到 防 患 于 未 
然 。 以 下 是 几 种 简单 适用 的 木马 预防 措施 。 

@ 不 随意 打开 来 历 不 明 的 邮件 ,阻塞 可 疑 邮件 。 

@ 不 随意 下 载 来 历 不 明 的 软件 。 
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@ 及 时 修补 漏洞 和 关闭 可 疑 端口 。 

@ 尽量 少 用 共享 文件 夹 。 

@ 运行 实时 监控 程序 。 

@ 经 常 升级 系统 和 更 新 病毒 库 。 

@ 限制 使 用 不 必要 的 、 具 有 传输 能 力 的 文件 。 

可 以 通过 查看 系统 端口 开放 的 情况 、 系 统 服 务 情况 、 系 统 任务 运行 情况 、 网 卡 的 工作 情 
况 、 系 统 日 志 及 运行 速度 有 无 异常 等 对 木马 进行 检测 。 可 以 通过 查看 在 本 机 上 开放 的 端口 ， 
看 是 否 有 可 疑 的 程序 打开 了 某 个 可 疑 的 端口 。 假 如 查看 到 有 可 疑 的 程序 在 利用 可 疑 端口 进 
行 连接 , 则 很 有 可 能 是 感染 了 木马 。 可 使 用 Windows 本 身 自 带 的 netstat 命令 、Windows 
系统 下 的 命令 行 工具 fport 和 图 形 化 界面 工具 Active Ports 查看 端口 。 

通过 查看 系统 进程 并 停止 可 疑 的 系统 进程 ,在 看 到 有 木马 程序 运行 时 ,要 马上 停止 系统 
进程 ,并 进行 下 一 步 操作 ,修改 注册 表 和 清除 木马 文件 。 

检测 到 计算 机 感染 木马 后 ,就 要 根据 木马 的 特征 来 进行 清除 。 最 简单 的 检测 和 删除 木 
马 的 方法 是 安装 木马 查 杀 软件 。 常 用 的 木马 查 杀 工具 (如 KV 3000、 瑞 星 、TheCleaner、 木 马 
克星 等 ) 都 可 以 进行 木马 的 检测 和 查 杀 。 


2. 蠕虫 


蠕虫 是 一 种 可 以 自我 复制 的 、 完 全 独立 的 程序 , 它 的 传播 不 需要 借助 被 感染 主机 的 其 他 
程序 。 蠕 虫 的 自我 复制 不 像 其 他 病毒 , 它 可 以 自动 创建 副本 ,并 在 没 人 干涉 的 情况 下 自动 运 
行 。 蠕 虫 是 通过 系统 中 存在 的 漏洞 和 设置 的 不 安全 性 进行 人 侵 的 。 

蠕虫 是 一 种 通过 网 络 传播 的 恶性 代码 , 它 除 具有 普通 病毒 的 传播 性 、 隐 项 性 和 破坏 性 
外 ,还 具有 一 些 自己 的 特征 ,如 不 利用 文件 寄生 、 可 对 网 络 造成 拒绝 服务 .与 黑客 技术 相 结合 
等 。 蠕 虫 的 传染 目标 是 网 络 内 的 所 有 计算 机 。 网 络 蠕虫 作为 对 互联 网 危害 严重 的 一 种 计算 
机 程序 ,其 破坏 力 和 传染 性 不 容 忽 视 。 

局 域 网 条 件 下 的 共享 文件 夹 . 电 子 邮 件 和 网 络 中 的 恶意 网 页 .大量 存在 着 漏洞 的 服务 器 
等 都 成 为 蠕虫 传播 的 途径 。 网 络 的 发 展 也 使 得 蠕虫 可 以 在 几 个 小 时 内 莺 延 到 全 球 ,而 且 蠕 
虫 的 主动 攻击 性 和 突然 爆发 性 将 使 得 人 们 惊慌 失措 。 

蠕虫 具有 传播 迅速 、 难 以 清除 利用 操作 系统 和 应 用 程序 的 漏洞 主动 进行 攻击 传播 方 
式 多 样 化 .与 黑客 技术 结合 等 特点 。 

与 普通 病毒 不 同 的 是 蠕虫 能 利用 漏洞 进行 传播 和 攻击 。 这 里 所 说 的 漏洞 主要 是 软件 缺 
陷 和 人 为 缺陷 。 软 件 缺 陷 ( 如 远程 溢出 、 微 软 IE 和 Outlook 的 自动 执行 漏洞 等 ) 需 要 软件 厂 
商 和 用 户 共同 配合 ,不 断 地 升级 软件 而 解决 。 人 为 缺陷 主要 是 指 计算 机 用 户 的 疏忽 。 对 于 
企业 用 户 来 说 ,威胁 主要 集中 在 服务 器 和 大 型 应 用 软件 上 ; 而 对 个 人 用 户 , 主 要 是 防范 人 为 
缺陷 。 

企业 网 络 防范 蠕虫 的 一 个 重要 方面 就 是 管理 策略 ,包括 加 强 网 络 管理 员 安 全 管理 水 平 ， 
提高 安全 技术 和 安全 意识 ; 建立 对 蠕虫 的 检测 系统 ,能 够 在 第 一 时 间 内 检测 到 网 络 的 异常 
和 蠕虫 攻击 ; 建立 应 急 响 应 系统 ,将 风险 减少 到 最 低 ; 建立 备份 和 容 灾 系统 防止 意外 灾难 
下 的 数据 丢失 。 

对 于 个 人 用 户 而 言 ,蠕虫 一 般 采 取 电 子 邮 件 和 恶意 网 页 传播 方式 。 通 过 电子 邮件 传播 
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的 蠕虫 通常 利用 的 是 社会 工程 学 欺骗 , 即 以 各 种 各 样 的 欺骗 手段 诱惑 用 户 点 击 的 方式 进行 
传播 。 防 范 此 类 蠕虫 需要 用 户 提 高 防 杀 恶意 代码 的 意识 ; 购买 正版 的 防 病毒 (蠕虫 ) 软 件 ; 
经 常 升级 病毒 库 ; 不 随意 查看 陌生 邮件 ,尤其 是 带 有 附件 的 邮件 。 


6.1.3 典型 防 病毒 软件 应 用 实例 一 一 卡巴 斯 基 软 件 的 应 用 


1. 卡巴 斯 基 软 件 简介 


现在 ,杀毒 软件 已 成 为 计算 机 中 必 装 软件 之 一 。 各 个 厂家 纷纷 推出 各 种 杀毒 软件 产品 ， 
国际 著名 杀毒 软件 公司 或 产品 有 卡巴 斯 基诺 顿 、McAfee 等 ,国内 著名 杀毒 软件 公司 或 产 
品 有 瑞星 、 江 民 、 金 山 毒 特等 。 

现代 杀毒 软件 所 采用 的 查 毒 、 杀 毒 技 术 大 同 小 异 ,工作 原理 与 使 用 方法 基本 相同 。 本 节 
就 以 市 面 上 流行 的 国际 著名 品牌 杀毒 软件 一 一 卡巴 斯 基 (Kaspersky) 为 例 介绍 防 病毒 软件 
的 安装 、 配 置 与 使 用 方法 。 

卡巴 斯 基 软 件 来 源 于 俄罗斯 ,是 世界 上 最 优秀 .最 顶级 的 网 络 杀毒 软件 之 一 。 它 提供 了 
所 有 类 型 病毒 的 防护 功能 ,如 抗 病 毒 扫描 监控, 行为 阻 断 和 完全 检验 等 。 它 支持 几乎 所 有 
的 普通 操作 系统 .E-mail 和 防火 墙 。 卡 巴 斯 基 防 病毒 软件 有 许多 国际 研究 机 构 、 中 立 测试 
实验 室 和 IT 出 版 机 构 的 证 书 ,确认 了 卡巴 斯 基 具 有 汇集 行业 最 高 水 准 的 突出 品质 。 

卡巴 斯 基 软 件 目前 与 安全 卫士 360 合作 ,安装 安全 卫士 360 后 可 以 获得 卡巴 斯 基 半 年 
的 使 用 ,也 可 以 到 卡巴 斯 基 官 方 网 站 下 载 30 天 试用 期 的 试用 版 。 

卡巴 斯 基 可 供 免费 试用 的 查 毒 产 品 主要 有 两 种 : 卡巴 斯 基 防 病毒 软件 6. 0 个 人 版 和 卡 
巴 斯 基 互联 网 安全 套装 6. 0 个 人 版 ,两 者 区 别 不 大 。 前 者 仅 提供 查 杀 病 毒 ,后 者 还 提供 网 络 
安全 功能 。 

卡巴 斯 基 防 病毒 软件 单机 版 为 家 庭 用 户 的 个 人 电脑 提供 超级 病毒 防护 , 它 具 有 最 尖端 
的 防 病毒 技术 ,时 刻 监控 病毒 可 能 入 侵 的 途径 ,同时 该 产品 应 用 独 有 的 iCheckerTM 技术 ， 
使 处 理 速度 比 同类 产品 快 3 倍 ,而 且 它 还 应 用 第 二 代 启 发 式 病毒 分 析 技 术 识 别 未 知 恶 意 程 
序 代码 ,成 功率 约 达 100%。 卡 巴 斯 基 病毒 数据 库 样 本 数 已 经 超过 10 万 种 ,并 拥有 世界 上 
最 快 的 升级 速度 ,每 小 时 常规 升级 一 次 ,以 使 系统 随时 保持 抗御 新 病毒 侵害 的 能 力 。 

卡巴 斯 基 软 件 可 以 基于 SMTP/POP3 协议 来 检测 进出 系统 的 邮件 ,可 实时 扫描 各 种 邮 
件 系统 全 部 接收 和 发 出 的 邮件 ,检测 其 中 的 所 有 附件 ,包括 压缩 文件 和 文档 \ 嵌 入 式 OLE 对 
象 及 邮件 体 本 身 。 它 还 新 增加 了 个 人 防火 墙 模块 ,可 有 效 保护 运行 Windows 操作 系统 的 
PC ,探测 对 端口 的 扫描 、 封 锁 网 络 攻击 并 向 管理 员 提出 报告 ,系统 可 在 隐形 模式 下 工作 , 封 
锁 所 有 来 自 外 部 网 络 的 请 求 ,使 用 户 隐形 和 安全 地 在 网 上 邀 游 。 

卡巴 斯 基 软 件 可 检测 出 上 千 种 以 上 的 压缩 格式 文件 和 文档 中 的 病毒 ,并 可 清除 ZIP、 
ARJ、CAB 和 RAR 文件 中 的 病毒 。 


2. 卡巴 斯 基 的 安装 


用 户 在 如 图 6. 1 所 示 卡 巴 斯 基 软件 (6. 0 个 人 版 ) 下 载 专区 下 载 后 ,可 按 如 下 步骤 进行 
安装 。 
第 1 步 : 启动 卡巴 斯 基 安 装 程序 , 跳 过 欢迎 界面 , 单 击 * 下 一 步 "按钮 开始 安装 。 
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下 载 专区 


可 用 的 下 载 
卡巴 斯 基 实 验 室 网 站 上 提供 可 下 载 的 反 病毒 和 皮 垃 贡 邮 半数 据 库 更 新 、 病 表 清 除 工具 、 产 品 试用 下 , 
反 病 毒 娄 括 库 更 新 


在 这 里 ,您 可 以 手动 下 载 我 们 量 新 的 反 病毒 数据 库 更 新 ， 并 从 中 找到 呈 新 病毒 数据 库 与 现 有 的 数据 库 的 不 月 呈 
确 训 并 好 府 0 不 辣 育 法 一 一 个 上 洒 箱 机 人 及 谭 坟 E 信 介 由 面 肝 a 
鸭 


图 6.1 卡巴 斯 基 软 件 下 载 专区 


第 2 步 : 认真 阅读 出 现 的 “终端 用 户 基本 许可 协议 ”窗口 中 的 协议 后 ,选中 “我 接受 许可 


协议 条 款 ” 单 选 框 , 单 击 " 下 一 步 ” 按 钮 。 
第 3 步 : 弹出 如 图 6.2 所 示 的 窗口 后 ,选择 安装 路 径 ( 通 常 按 默 认 安装 路 径 即 可 ), 单 击 


“下 一 步 " 按 租 。 
f 卡巴 斯 基 反 病毒 6. 0 x 
碗 择 目 标 文件 到 
过 择 用 来 安装 卡巴 斯 基 反 病毒 6.0 的 文件 严 。 区 


要 安装 到 这 个 文件 夹 ， 请 点 击 "下 一 步 "。 如 果 要 安装 到 其 它 文件 亚 ， 请 点 
击 ' 浏 览 选 择 其 它 目录 来 进行 安装 。 


目标 文件 奕 : 
[EProoram Fles\Kaspersky LabWKaspersky Anti-Virus 6.0\ ET 


FECKaspersky Lal 


rr | ee | 取消 


图 6.2 选择 安装 路 径 


第 4 步 : 在 弹出 的 如 图 6. 3 所 示 的 窗口 中 选择 安装 类 型 ,通常 选择 “完整 ”类 型 ,再 单 击 


“下 一 步 ?按钮 。 
第 5 步 : 在 弹出 的 如 图 6.4 所 示 的 窗口 中 选择 “启动 自我 保护 ” 单 选 框 , 单 击 “ 安 装 ” 按 
钮 ,开始 安装 过 程 。 


第 6 步 : 在 弹出 的 如 图 6. 5 所 示 的 窗口 中 , 单 击 * 下 一 步 "按钮 ,完成 安装 过 程 。 
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韶 卡巴 斯 基 反 病毒 6-0 


区 
选择 安装 类 型 


根据 您 的 实际 需要 来 选择 要 安装 的 类 型 各 


完整 
安装 所 有 程序 模块 。 它 将 全 面 的 保护 您 计算 机 的 安全 。 


自 定义 
用 户 可 以 根据 自己 的 实际 情况 ， 选 择 要 安装 的 组 件 。 推 荐 
高 级 用 尸 使 用 。 


3 mw] 
图 6.3 选择 安装 类 型 


便 卡巴 斯 基 反 病毒 6. 0 


可 
本 


= 
= 
e 
s 
s 
三 


礁 备 安装 


请 确认 您 要 安装 已 选 的 组 件 。 l 和 


点 击 ' 安 装 "开始 进行 安装 。 如 果 您 想 查看 或 更 改 安装 设置 点 击 "上 一 步 "， 如果 要 退 
出 安装 向 导 点 击 "取消 。 


卡巴 斯 基 反 病毒 6. 0 
安装 完成 。 


安装 已 经 完成 点击 下 一 步 ` 奴 续 ， 


图 6.5 安装 完成 
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第 7 步 : 安装 后 要 进行 激活 。 先 选择 激活 方式 ,如 图 6.6 所 示 。 正 式 版 用 户 在 购买 卡 
巴 斯 基 时 会 获得 一 个 激活 码 ,此 时 选中 * 使 用 激活 码 激活 ? 单 选 钮 进行 激活 ,试用 版 用 户 可 单 
击 “ 激 活 试用 版 ”", 免 费 试 用 30 天 。 选 择 激活 方式 后 单 击 “ 下 一 步 ?按钮 ,出 现 激活 成 功 图 示 ， 
单 击 “ 下 一 步 ” 按 钮 即 可 。 


[ 吧 安 装 向 导 : 卡巴 斯 基 反 病毒 


[mE 
卡巴 斯 基 反 病毒 安装 向 导 辅 助 你 配置 保护 选项 。 
你 必需 激活 卡巴 斯 基 反 病毒 ， 才 能 更 新 病毒 库 和 获 福 技术 支持 。 


@ 型 Es 
图 6.6 选择 激活 方式 
第 8 步 : 选择 保护 方式 。 如 图 6. 7 所 示 , 一 般 选 中 “基本 保护 ” 即 可 , 单 击 “ 下 一 步 ” 按 
钮 ,弹出 如 图 6. 8 所 示 选 择 病毒 特征 代码 库 “ 更 新 ”窗口 ,选择 “自动 ” 单 选 框 , 单 击 “ 下 一 步 ” 
按钮 。 


[33 安装 向 导 : 卡巴 斯 基 反 病毒 


图 交互 式 保护 


交互 式 保护 可 以 检测 试图 修改 系统 设置 的 操作 ,包括 危 险 系统 和 网 络 活动 一 旦 检测 
到 ， 格 会 提示 用 户 是 天 区 许 或 拒绝 该 活动 


选择 一 种 保护 李 式 ; 
Gs 有 有 有 ) 


口交 也 式 保护 
通知 我 关于 危险 事件 和 可 县 事件 的 情况 


介 要 助 t- [TS>] [到 前 
图 6.7 选择 保护 方式 


第 9 步 : 在 选择 扫描 方式 中 选择 默认 值 即 可 ,最 后 完成 安装 过 程 。 重 新 启动 计算 机 , 卡 
巴 斯 基 软件 即 可 开始 工作 。 
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[了 3 安装 向 导 : 卡巴 斯 基 反 病毒 


曼 亚 一 


为 了 保证 计算 机 能 钱 抵 午 每 天 产生 的 安全 威胁 ， 您 定期 更 新 病毒 库 是 十 分 必要 的 。 请 
选择 更 新 模式 : 


更 新 模式 
口 导 天 En 
口 珊 
立新 
村 
C2 


图 6.8 选择 病毒 特征 代码 库 “ 更 新 "模式 
3. 卡巴 斯 基 的 配置 


安装 好 卡巴 斯 基 软 件 后 ,还 需 合 理 配置 才能 达到 最 好 的 效果 。 合 理 的 配置 可 以 在 保证 
安全 的 情况 下 尽量 减少 对 系统 资源 的 占用 。 

图 6. 9 所 示 为 卡巴 斯 基 防 病毒 软件 系统 的 主 界面 。 单 击 主 界面 右上 角 的 “设置 "按钮 ， 
打开 设置 窗口 ,如 图 6. 10 所 示 。 在 左边 “设置 ” 栏 依次 选中 不 同 的 对 象 ,在 右 侧 窗 格 进行 
配置 。 


[3 直 巴 斯 基 反 病毒 5.0 个 人 版 一 局 
‘Anti-Virus 沪 征 是 一 
a | | 保护 :正在 运行 rT 
文件 保护 
邮件 保护 人 
sree SR 
和 | 
Qs 计算 机 保护 状态 
( Os (Ei | 
To @m000921 356 
网 zi 有 保护 担 伸 正在 运行 
© 扫 括 总 数 : a 
从 未 执行 过 全 多 扫 护 ,建议 你 尽快 执行 pe 0 
Se 未 处 理 : 3 


6.9 卡巴 斯 基 防 病毒 软件 系统 主 界面 


这 里 以 “文件 保护 ”为 例 介 绍 其 配置 原则 与 方法 。 在 图 左 侧 窗 格 选中 “文件 保护 ”, 在 右 
边 窗 格 单 击 “ 自 定义 ”按钮 后 ,弹出 如 图 6. 11 所 示 的 窗口 ,可 在 该 窗口 下 进行 配置 。 

(1) 文件 类 型 栏 

。“ 扫 描 所 有 文件 ”选项 可 靠 性 最 高 ,但 扫描 速度 最 慢 。 
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加 设置 : 卡巴 斯 基 反 病 毒 


加 护 守 现 
启用 保护 
Me 回 在 系统 启动 时 运行 卡巴 斯 基 反 病毒 
ee EA 信任 区 域 … 
日 扫描 
关键 区 域 风险 种 天 
我 的 电脑 过 ,二 起 不 马 ,时 客 工 
局 动 对 旬 [ET 
ri 口 落下 的 危险 程序 fiskware) 
报告 、 隔 高 和 备份 我 了 解 一 些 合法 的 程序 可 能 归 类 为 潜在 的 危险 软件 ,我 希 
设置 世 检 这 此 软 从 在 这 台 计 算 机 上 作为 胡 园 件 . 
3 丁 附加 设置 
回 自用 高 级 处 理 技术 
回 当 使 用 电池 能 源 时 禁用 计划 3 并 
强制 应 用 于 其 它 组 件 
包 型 助 (3 | ES 有 用 


图 6.10 “设置 "窗口 


[各 自 定义 设置 : 文件 保护 


[可 要 保护 范围 [附加 设置 | 
文件 类 型 
个 扫 闫 所 有 文件 
(所 冰 入 友和 文稿 N 指 内 容 ) 
〇 扫 六 程序 和 文档 (根据 扩展 名 ) 
增 量 扫描 技术 
只 扫描 新 建文 件 和 发 生变 化 的 文件 


扫描 民 入 式 OLE 对 象 
如 果 压 缩 文件 过 大 则 在 后 台 扫 撕 
不 处理 过 大 的 压 筷 文 件 8 恒 m 


人 @ 型 助 [ET | 到 
图 6.11 文件 保护 设置 


。“ 扫 描 程 序 及 文档 ”选项 依据 文件 的 内 容 进 行 有 选择 性 地 扫描 ,对 不 会 被 病毒 感染 
的 文件 不 扫描 ,节省 扫描 时 间 ,推荐 选用 此 选项 。 

。 “扫描 程序 和 文档 ”选项 根据 文件 扩展 名 进行 扫描 ,速度 最 快 ,但 有 可 能 会 有 漏 扫 。 

(2) 增 量 扫描 技术 栏 

选择 该 项 后 ,卡巴 斯 基 系 统 可 记 住 此 次 扫描 过 的 文件 ,下 次 再 扫描 时 对 于 没有 改变 过 的 
文件 不 再 进行 扫描 ,这 样 可 大 大 提高 查 毒 速度 。 

(3) 复合 文件 栏 

对 过 大 的 压缩 包 可 以 不 扫描 。 因 为 扫描 压缩 包 时 系统 会 在 一 个 虚拟 的 计算 机 中 把 压缩 
包 打 开 逐 一 扫描 ,耗费 了 大 量 的 系统 资源 。 而 通常 压缩 包 内 的 程序 和 文档 需要 解压 缩 后 才 
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能 使 用 ,此 时 可 再 用 杀毒 软件 检查 数据 包 的 内 容 即 可 。 因 此 可 选择 “不 处 理 过 大 的 压缩 文 
件 ”“ 如 果 压 缩 文件 过 大 则 在 后 人 台 扫 描 ” 和 “扫描 嵌入 式 OLE 对 象 ”。 


4. 卡巴 斯 基 软 件 应 用 实例 


利用 卡巴 斯 基 防 病毒 软件 查 杀 病 毒 的 过 程 如 下 : 

第 1 步 : 打开 卡巴 斯 基 系 统 (6.0 个 人 版 ) ,系统 主 界面 如 图 6. 9 所 示 。 

第 2 步 : 主 界面 左 侧 有 一 个 扫描 选项 ,点 选 它 之 后 会 出 现 三 个 选项 ,卡巴 斯 基 按照 扫描 
的 范围 不 同 分 为 “关键 区 域 "“ 我 的 电脑 "和 “启动 对 象 ” 三 个 扫描 区 域 ,如 图 6. 12 所 示 。 可 
以 根据 扫描 范围 的 不 同 ,选择 相应 的 选项 进行 操作 。 


Anti-Virus Pu Pm 
[4 保护 | 提 旷 :从 不 启动 Pum 
CD [后 加 对 | 
关键 区 域 口 全 邮件 数据 库 
我 的 电脑 日 a 机 用 | 
ey ~- (0;) 
启动 对 象 日 : Snae 
| 地 DYD (F:) 
【IT [Sa ("| | 
设置 | 
安全 饶 别 : 
操作 ; 所 朱 成 后 提示 操作 
:OO 4 | 


图 6.12 卡巴 斯 基 扫 描 病毒 区 域 


第 3 步 : 单 击 “ 关 键 区 域 ", 可 以 看 到 如 图 6. 13 所 示 的 中 间 区 域 。 这 是 根据 不 同 的 要 求 
变化 扫描 的 具体 内 容 , 如 全 部 选择 或 部 分 选择 系统 内 存 、 启 动 对 象 .引导 扇 区 、system32 等 
范围 。 


[3 下 巴 斯 天 有 反 生 于 520 不 大 业 


| ~ || -+ 
6.13 ”卡巴 斯 基 扫 描 的 关键 区 域 
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第 4 步 : 单 击 图 6. 13 右 下 方 的 “扫描 ”按钮 可 进行 扫描 杀毒 。 扫 描 结束 后 , 单 击 “ 关 闭 ” 
按钮 ,完成 此 次 扫描 和 查 杀 ,可 查看 到 扫描 结果 。 

第 5 步 : 当 用 户 只 想 扫 描 计 算 机 的 内 存 和 引导 区 范围 是 否 有 病毒 侵害 时 ,可 以 选择 单 
击 扫 描 “ 启 动 对 象 ”, 如 图 6. 14 所 示 。 这 时 中 间 区 域 会 出 现 “ 系 统 内 存 ”“ 启 动 对 象 " 和 “引导 
扇 区 ”三 个 选择 对 象 。 用 户 可 以 根据 需要 进行 全 部 选择 或 部 分 选择 设置 。 

第 6 步 : 单 击 图 6. 14 右 侧 的 “扫描 ”按钮 进行 扫描 和 查 杀 。 


[3 本 巴 斯 基 反 和 病毒 6.0 个 人 版 


| APvirus A 蛙 丙 


六 ED 
(E> _ | 回信 有 内在 ET 
关键 区 域 | 回 导语 动 对 象 | = 
上 回避 引 SR 区 EL 
人 局 动 对 象 
[Em] 
设置 
安全 级 别 : 
换 作 ; 扫描 完成 后 提示 换 作 
“> 运行 模式 : 在 程序 启动 时 
四 至 一 zy| 
泉 计 


图 6.14 设 定 “ 启 动 对 象 ” 扫 描 区 域 


第 7 步 : 扫描 查 杀 后 单 击 " 关 闭 ” 按 钮 ,可 看 到 扫描 “启动 对 象 * 过 程 完成 及 扫描 结果 。 

说 明 : 扫描 查 杀 “关键 区 域 " 和 “启动 对 象 " 只 是 对 计算 机 内 存 、 引 导 区 或 开机 后 抢占 进 
程 的 病毒 的 扫描 措施 , 它 查 杀 病毒 或 恶意 程序 的 范围 比较 小 。 如 果 需 要 全 面 查 杀 病毒 , 则 选 
择 “ 我 的 电脑 ”区 域 并 进行 扫描 查 杀 。 

第 8 步 ; 单 击 图 6. 9 左 侧 * 扫 描 " 项 下 的 “我 的 电脑 ”, 弹 出 如 图 6. 15 所 示 界 面 。 图 中 间 
区 域 有 多 项 扫描 范围 ,用 户 可 根据 需要 全 部 或 部 分 选择 。 然 后 单 击 右 侧 的 “扫描 ”按钮 进行 
扫描 查 杀 。 图 6. 16 所 示 为 扫描 进行 中 状态 。 当 扫描 到 病毒 后 , 单 击 “ 全 部 处 理 ” 按 钮 进行 


查 杀 。 


] 手 巴 斯 基肥 病毒 ”570 个 大 取 


所 六 要 的 电 及 :从 不 局 动 


习 | 旧名 区 入 "| 


回 在 启动 对 象 


图 6.15 设 定 “ 我 的 电脑 ”扫描 区 域 


[333% = 打 插 我 的 电厂 


的: 正在 和 pun) 


二 2 和 


| 类 态 ET 可 
| 和 @ 已 检测 ; 森马 程序 Trolan-Downloader.]5.Iframe.wt 文件 : C:\Documents and Settings\Administrator\Local Sett， 


图 6.16 “我 的 电脑 ”的 扫描 过 程 


第 9 步 , 查 杀 完毕 后 , 单 击 * 关 闭 * 按 钮 退出 ,界面 上 会 出 现 扫描 * 我 的 电脑 "的 处 理 
结果 。 
至 此 ,使 用 卡巴 斯 基 防 病毒 工具 查 杀 病 毒 的 过 程 就 全 部 完成 了 。 


6.2 黑客 攻击 与 防范 


提起 黑客 ,总 是 给 人 一 种 神秘 莫 测 的 感觉 。 在 人 们 眼中 ,黑客 是 一 群 精通 计算 机 操作 系 
统 和 编程 语言 方面 的 技术 ,具有 硬件 和 软件 的 高 级 知识 ,能 发 现 系统 中 存在 安全 漏洞 的 人 。 
在 网 络 中 ,他们 经 常 使 用 入 侵 计算 机 系统 的 基本 技巧 ,如 破解 口令 (password cracking)、 走 
后 门 (backdoor) 安放 木马 等 。 他 们 通常 先 确 定 目标 并 且 收 集 相关 信 息 ( 包 括 邮件 地 址 、 相 
关 IP 地 址 漏洞 等 ) ,然后 根据 得 到 的 信息 进行 渗透 ,未 经 允许 地 侵入 他 人 的 计算 机 系统 , 窥 
视 他 人 的 隐私 、 窃 取 密 码 或 故意 破坏 他 人 系统 ,这 就 是 黑客 人 侵 。 


6.2.1 黑客 与 网 络 攻 击 
1. 黑客 攻击 的 手段 和 工具 


为 了 把 损失 降 到 最 低 限度 ,人 们 一 定 要 有 安全 观念 ,并 掌握 一 定 的 安全 防范 措施 ,让 黑 
客 无 任何 机 会 可 乘 。 先 来 了 解 和 研究 一 下 黑客 的 攻击 手段 ,这 样 才能 采取 准确 的 对 策 对 付 
网 络 攻击 。 

黑客 常用 的 攻击 手段 有 获取 用 户口 令 、` 放 置 木马 程序 .电子 邮件 攻击 、 网 络 监 听 \ 利 用 账 
号 进行 攻击 、 获 取 超级 用 户 权 限 等 。 

黑客 攻击 系统 通常 使 用 的 工具 有 扫描 器 、 嗅 探 器 木马 和 炸弹 等 。 扫 描 器 是 检测 本 地 或 
远程 系统 安全 脆弱 性 的 软件 ,利用 它 通过 与 目标 主机 的 TCP/IP 端口 建立 连接 并 请 求 某 些 
服务 ,记录 目标 主机 的 应 答 , 收 集 目标 主机 的 相关 信息 ,从 而 发 现 目标 主机 某 些 内 在 的 安全 
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弱点 。 嗅 探 器 是 一 种 常用 的 收集 有 用 数据 的 工具 ,利用 它 可 收集 用 户 的 账号 和 密码 ,或 是 一 
些 商业 性 机 密 数 据 。 著 名 的 木马 工具 软件 ,如 冰河 .BO2000、NetSpy.、 广 外 女生 等 ,功能 都 
很 强大 ,黑客 广泛 利用 。 被 黑客 常用 的 炸弹 工具 有 邮件 类 炸弹 、IP 类 炸弹 和 ICQ 类 炸弹 等 。 


2. 黑客 攻击 的 过 程 


黑客 攻击 网 络 主要 有 以 下 过 程 。 

(1) 确定 攻击 目的 

攻击 者 在 进行 一 次 完整 的 攻击 之 前 ,首先 要 确定 攻击 要 达到 的 目的 , 即 要 给 对 方 造成 什 
么 伤害 。 常 见 的 攻击 目的 就 是 破坏 和 入 侵 。 破 坏 型 攻击 就 是 破坏 攻击 目标 ,使 其 不 能 正常 
工作 ,而 不 随意 控制 目标 的 系统 运行 。 要 达到 破坏 性 攻击 的 目的 ,主要 手段 是 拒绝 服务 
(DoS) 攻 击 。 

(2) 收集 信息 

黑客 在 确定 攻击 目的 后 ,还 需 进 一 步 获取 有 关 信 息 ,如 攻击 目标 机 的 IP 地 址 、 所 在 网 络 
的 操作 系统 类 型 和 版 本 、 系 统管 理 人 员 的 邮件 地 址 等 ,根据 这 些 信息 进行 分 析 , 可 得 到 有 关 
被 攻击 方 系统 中 可 能 存在 的 漏洞 。 

(3) 系统 安全 弱点 的 探测 

在 收集 到 攻击 目标 的 一 些 信息 后 ,黑客 会 探测 目标 网 络 上 的 每 台 主机 ,以 寻求 该 系统 的 
安全 漏洞 或 安全 弱点 ,黑客 主要 使 用 自 编程 序 和 利用 扫描 工具 方式 进行 系统 安全 弱点 的 
探测 。 

(4) 建立 模拟 环境 ,进行 模拟 攻击 

黑客 根据 前 几 步 所 获得 的 信息 ,建立 一 个 类 似 攻 击 对 象 的 模拟 环境 ,然后 对 模拟 目标 机 
进行 一 系列 的 攻击 。 在 此 期 间 , 通 过 检查 被 攻击 方 的 日 志 , 观 察 检 测 工具 对 攻击 的 反应 等 ， 
可 以 了 解 攻击 过 程 中 留 下 的 “痕迹 ”及 被 攻击 方 的 状态 ,这 样 攻 击 者 就 知道 需要 删除 哪些 文 
件 来 毁灭 其 入 侵 证 据 , 以 此 可 制定 一 个 系统 的 .周密 的 攻击 策略 。 

(5) 实施 网 络 攻击 

黑客 以 前 几 步 所 做 工作 为 基础 ,再 结合 自身 的 水 平 及 经 验 总 结 出 相应 的 攻击 方法 ,在 进 
行 模拟 攻击 的 实践 后 ,将 等 待 时 机 ,实施 真正 的 网 络 攻击 。 

通常 ,黑客 实施 的 网 络 攻击 可 能 包括 以 下 操作 。 

J@ 通过 猜测 程序 可 对 截获 的 用 户 账号 和 口令 进行 破译 。 

@ 利用 破译 程序 可 对 截获 的 系统 密码 文件 进行 破译 。 

@ 通过 得 到 的 用 户口 令 和 系统 密码 远程 登录 网 络 ,以 此 获得 用 户 的 工作 权限 。 

@ 利用 本 地 漏洞 获取 管理 员 权限 。 

@ 利用 网 络 和 系统 本 身 的 薄弱 环节 和 安全 漏洞 实施 电子 引诱 (如 安放 木马 ) 等 。 

@ 修改 网 页 进行 恶作剧 ,或 破坏 系统 程序 ,或 放置 病毒 使 系统 陷入 瘫 闪 , 或 窃取 政治 、 
军事 .商业 秘密 ,或 进行 电子 邮件 骚扰 ,或 转移 资金 账户 .窃取 金钱 等 。 


6.2.2 常见 的 网 络 攻击 类 型 与 防范 


对 于 网 络 协议 、 操 作 系统 .数据库 和 应 用 程序 ,无 论 是 其 本 身 的 设计 缺陷 ,还 是 由 于 人 为 
因素 造成 的 各 种 漏洞 ,都 可 能 被 黑客 利用 来 进行 网 络 攻击 。 
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1. 黑客 的 攻击 类 型 


任何 以 干扰 、 破 坏 网 络 系统 为 目的 的 非 授权 行为 都 被 称 为 网 络 攻击 。 黑 客 进行 的 网 络 
攻击 通常 可 归纳 为 拒绝 服务 型 攻击 ,利用 型 攻击 和 信息 收集 型 攻击 。 

(1) 拒绝 服务 型 攻击 

拒绝 服务 (DoS) 攻 击 是 攻击 者 通过 各 种 手段 来 消耗 网 络 带宽 或 服务 器 的 系统 资源 ,最 
终 导致 被 攻击 服务 器 资源 耗 尽 或 系统 骨 溃 而 无 法 提供 正常 的 网 络 服务 。 这 种 攻击 对 服务 器 
来 说 ,可 能 并 没有 造成 损害 ,但 可 以 使 人 们 对 被 攻击 服务 器 所 提供 服务 的 信任 度 下 降 ,影响 
公司 声誉 以 及 用 户 对 网 络 的 使 用 。 黑 客 也 会 利用 TCP 协议 自身 的 漏洞 进行 攻击 ,影响 网 络 
中 运行 的 绝 大 多 数 服务 器 。 

具体 的 DoS 攻击 方式 有 SYN Flood( 洪 泛 ) 攻 击 、IP 碎片 攻击 Smurf 攻击 、 死 亡 之 ping 
攻击 , 泪 滴 (teardrop) 攻 击 、UDP Flood(UDP 洪 泛 ) 攻 击 和 Fraggle 攻击 等 。 

(2) 利用 型 攻击 

利用 型 攻击 是 一 类 试图 直接 对 用 户 机 器 进行 控制 的 攻击 。 最 常见 的 利用 型 攻击 有 以 下 
3 种 。 
@ 口令 猜测 
一 旦 黑客 识别 了 一 台 主 机 而 且 发 现 了 基于 NetBIOS、Telnet 或 NFS 服务 的 可 利用 的 用 
户 账号 ,成 功 的 口令 猜测 能 提供 对 机 器 的 控制 。 

@ 特洛伊 木马 

木马 是 一 种 直接 由 黑客 或 通过 用 户 秘密 安装 到 目标 系统 的 程序 。 木 马 一 旦 安装 成 功 并 
取得 管理 员 权 限 ,黑客 可 以 直接 远程 控制 目标 系统 。 

@ 缓冲 区 溢出 

由 于 在 很 多 服务 程序 中 程序 员 使 用 类 似 strcpy()、strcat() 等 不 进行 有 效 位 检查 的 函 
数 , 最 终 可 能 导致 恶意 用 户 编写 一 小 段 程序 来 进一步 打开 安全 缺口 ,然后 将 该 代码 级 在 缓冲 
区 中 的 有 效 载荷 末尾 。 当 发 生 缓 冲 区 溢出 时 ,返回 指针 指向 恶意 代码 ,这样 系 统 的 控制 权 就 
会 被 夺取 。 

(3) 信息 收集 型 攻击 

信息 收集 型 攻击 被 用 来 为 进一步 人 侵 系统 提供 有 用 的 信息 。 这 类 攻击 主要 利用 扫描 技 
术 和 信息 服务 技术 进行 ,其 具体 实现 方式 有 地 址 扫描 、 端 口 扫描 、 反 向 映射 ,DNS 域 转换 和 
Finger 服务 等 。 


2. 拒绝 服务 (DoS) 攻 击 与 防范 


DoS 攻击 主要 是 攻击 者 利用 TCP/IP 协议 本 身 的 漏洞 或 网 络 中 操作 系统 漏洞 实现 的 。 
攻击 者 通过 发 送 大 量 无 效 的 请 求 数据 包 造 成 服务 器 进程 无 法 短期 释放 ,大 量 积累 耗 尽 系统 
资源 ,使 得 服务 器 无 法 对 正常 请 求 进行 响应 ,造成 服务 器 瘫痪 。 这 种 攻击 主要 是 用 来 攻击 域 
名 服务 器 、 路 由 器 以 及 其 他 网 络 操作 服务 。 

在 DoS 攻击 中 ,攻击 者 加 载 过 多 的 服务 将 系统 资源 (如 CPU 时间、 磁盘 空间 、 打 印 机 
等 ) 全 部 或 部 分 占用 ,使 得 没有 多 余 资 源 供 其 他 用 户 使 用 。 由 于 DoS 攻击 工具 的 技术 要 求 
不 高 ,效果 却 比较 明显 ,因此 成 为 黑客 常用 的 一 种 十 分 流行 的 攻击 手段 。 
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众所周知 ,在 TCP/IP 传输 层 ,TCP 连接 的 建立 要 通过 3 次 握手 机 制 完 成 。 客 户 端 首 
先 发 送 SYN 信息 (第 1 次 握手 ) ,服务 器 发 回 SYN/ACK 信息 (第 2 次 握手 ) ,客户 端 连接 后 
再 发 回 ACK 信息 (第 3 次 握手 ) ,此 时 连接 建立 完成 。 若 客户 端 不 发 回 ACK, 则 服务 器 在 超 
时 后 处 理 其 他 连接 。 

TCP 的 3 次 握手 过 程 常 常 被 黑客 利用 进行 DoS 攻击 ,其 原理 是 : 客户 机 先进 行 第 1 次 
握手 ; 服务 器 收 到 信息 后 进行 第 2 次 握手 ; 正常 情况 下 客户 机 应 该 进行 第 3 次 握手 。 但 因 
为 被 黑客 控制 的 客户 端 在 进行 第 1 次 握手 时 修改 了 自己 的 地 址 ,即将 一 个 实际 上 不 存在 的 
IP 地 址 填充 在 自己 的 IP 数据 包 的 发 送 栏 中 。 由 于 服务 器 发 送 的 第 2 次 握手 信息 没 人 接 
收 ,所 以 服务 器 不 会 收 到 第 3 次 握手 的 确认 信号 ,这 样 ,服务 器 端 会 一 直 等 待 直 至 超时 。 当 有 
大 量 的 客户 发 出 请 求 后 ,服务 器 就 会 有 大 量 的 信息 在 排队 等 待 ,直到 所 有 的 资源 被 用 光 而 不 能 
再 接收 客户 机 的 请 求 。 当 正常 的 用 户 向 服务 器 发 出 请 求 时 ,由 于 没有 了 资源 就 会 被 拒绝 服务 。 

可 采用 防火 墙 系统 、 入 侵 检测 系统 (IDS) 和 入 侵 防 护 系 统 (IPS) 等 技术 措施 防范 DoS 攻击 。 
此 外 ,从 网 络 的 全 局 着 眼 , 在 网 间 基 础 设施 的 各 个 层面 上 采取 应 对 措施 ,如 在 局 域 网 层面 上 采 
用 特殊 措施 、 在 网 络 传输 层面 上 进行 必要 的 安全 设置 ,并 安装 专门 的 DoS 识别 和 预防 工具 , 提 
供 有 效 的 识别 机 制 和 强硬 的 控制 手段 ,这 样 才能 最 大 限度 地 减少 DoS 攻击 所 造成 的 损失 。 

对 于 DoS 攻击 ,可 采取 如 下 具体 措施 。 

QO@ 关 掉 可 能 产生 无 限 序列 的 服务 可 防止 信息 淹没 攻击 。 

@ 要 防止 SYN 数据 段 攻击 ,应 对 系统 设 定 相应 的 内 核 参 数 ,使 得 系统 强制 对 超时 的 
SYN 请 求 连接 数据 包 复位 ,同时 通过 缩短 超时 常数 和 加 长 等 候 队 列 使 得 系统 能 迅速 处 理 无 
效 的 SYN 请 求 数据 包 。 

@ 建议 在 该 网 段 的 路 由 器 上 做 些 诸如 限制 SYN 半 开 数据 包 流 量 和 个 数 配 置 的 调整 。 

@ 建议 在 路 由 器 的 前 端 做 必要 的 TCP 拦截 ,使 得 只 有 完成 TCP 3 次 握手 过 程 的 数据 
包 才 可 进入 该 网 段 。 

对 于 正在 实施 的 DoS 攻击 ,只 有 追根 溯源 去 找到 正在 进行 攻击 的 机 器 和 攻击 者 。 要 追 
踪 攻 击 者 不 是 一 件 容易 的 事情 ,一 旦 其 停止 了 攻击 行为 就 很 难 被 发 现 。 唯 一 可 行 的 方法 就 
是 在 其 进行 攻击 的 时 候 ,根据 路 由 器 的 信息 和 攻击 数据 包 的 特征 ,采用 逐 级 回溯 的 方法 来 查 
找 其 攻击 源头 。 


3. 分 布 式 拒绝 服务 (DDoS) 攻 击 与 防范 


随 着 Internet 的 发 展 ,出现 了 越 来 越 多 对 网 络 体系 进行 故意 破坏 的 黑客 团体 。 他 们 研 
究 出 了 各 种 攻击 方法 ,其 中 最 难 防范 的 且 最 具 破 坏 性 的 攻击 是 分 布 式 拒绝 服务 (DDoS) 攻 
击 。DDoS 是 一 种 特殊 形式 的 拒绝 服务 攻击 ,采用 一 种 分 布 . 协 作 的 大 规模 攻击 方式 ,主要 
目标 是 商业 公司 .搜索 引擎 和 政府 部 门 网 站 等 较 大 站 点 。DDoS 攻击 是 黑客 经 常 采 用 而 难 
以 防范 的 攻击 手段 。 

(1) DDoS 攻击 的 概念 与 过 程 

DDoS 攻击 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 种 攻击 方式 。 试 想 如 果 计 算 机 与 网 
络 的 处 理 能 力 加 大 10 倍 , 用 一 台 攻 击 机 来 攻击 不 会 起 作用 ,但 攻击 者 要 是 用 10 台 、100 台 
攻击 机 同时 攻击 呢 ? 这 就 是 DDoS 攻击 的 思路 , 它 就 是 利用 更 多 的 被 控制 机 发 起 进攻 ,以 比 
从 前 更 大 的 规模 来 进攻 受害 者 。 如 图 6. 17 所 示 ,为 完成 DDoS 攻击 ,黑客 首先 要 拥有 和 控 
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制 3 种 类 型 的 计算 机 : 攻击 者 计算 机 (黑客 本 人 使 用 ,黑客 通过 它 发 布 实施 DDoS 的 指令 )、 
控制 便 偶 机 (一 般 不 属 黑客 所 有 ,黑客 在 这 些 计算 机 上 安装 特定 的 主 控制 软件 ) 和 攻击 倪 侦 
机 。 每 个 攻击 侧 偶 机 也 是 一 台 已 被 和 人 侵 并 运行 代理 程序 的 系统 主机 ,每 个 响应 攻击 命令 的 
攻击 侧 偶 机 会 向 被 攻击 目标 主机 发 送 DoS 数据 包 。 


攻击 做 仿 机 


有 
攻击 侯 仿 机 县 


攻击 俐 偏 机 


控制 


三 
使 介 机 
回 攻击 便 介 机 


图 6.17 分 布 式 拒绝 服务 攻击 示意 图 


DDoS 攻击 包 是 从 攻击 佛 偶 机 上 发 出 的 ,控制 便 偶 机 只 发 布 命令 而 不 参与 实际 的 攻击 。 
黑客 对 这 两 类 计算 机 有 控制 权 或 部 分 的 控制 权 , 并 把 相应 的 DDoS 程序 上 传 到 这 些 平台 上 ， 
这 些 程序 与 正常 的 程序 一 样 运行 并 等 待 来 自 黑客 的 指令 。 平 时 攻击 倪 偶 机 并 没有 什么 蜡 
常 , 只 是 一 旦 被 黑客 控制 并 接收 到 指令 ,它们 就 成 为 攻击 者 了 。 

一 般 来 说 ,黑客 的 DDoS 攻击 分 为 准备 .占领 例 偶 机 、 植 人 程序 、 实 施 攻 击 4 个 阶段 。 

a 在 准备 阶段 ,黑客 主要 进行 搜集 和 了 解 目标 的 情况 (如 目标 主机 数目 .地 址 配置、 性 
能 和 带宽 ) 。 该 阶段 对 于 黑客 来 说 非常 重要 ,因为 完全 了 解 目 标的 情况 ,才能 有 效 地 进行 攻 
击 。 对 于 DDoS 攻击 者 ,要 攻击 某 个 站 点 ,首先 要 确定 到 底 有 多 少 台 主 机 在 支持 这 个 站 点 ， 
一 个 大 的 网 站 可 能 有 很 多 台 主 机 利用 负载 均衡 技术 提供 同一 个 网 站 的 WWW 服务。 

@ 占领 便 儒 机 阶段 实际 上 是 使 用 了 利用 型 攻击 手段 。 简 单 地 说 ,就 是 占领 和 控制 侧 介 
机 ,取得 最 高 的 管理 权限 ,或 至 少 得 到 一 个 有 权 完 成 DDoS 攻击 任务 的 账号 。 

@ 植 入 程序 阶段 是 在 黑客 占领 人 物 佩 机 后 ,在 控制 侈 偏 机 上 安装 主 控制 软件 ; 在 攻击 倪 
偶 机 上 安装 守护 程序 。 攻 击 佛 儒 机 上 的 代理 程序 在 指定 端口 上 监听 来 自控 制 侧 偶 机 发 送 的 
攻击 命令 ,而 控制 侧 儒 机 接受 从 攻击 者 计算 机 发 送 的 指令 。 

@ 实施 攻击 阶段 是 在 前 三 个 阶段 基础 上 ,黑客 开始 瞄准 目标 准备 攻击 。 黑 客 登录 到 控 
制 倪 偶 机 ,向 所 有 的 攻击 机 发 出 攻击 命令 。 这 时 候 洪 伏 在 攻击 机 中 的 DDoS 攻击 程序 就 会 
响应 控制 台 的 命令 ,一 起 向 受害 主机 高 速 发 送 大 量 的 数据 包 .导致 受 害 者 死机 或 是 无 法 响应 
正常 的 请 求 。 

(2) DDoS 攻击 的 防范 

对 DDoS 攻击 的 防御 可 以 从 对 主机 与 网 络 两 个 角度 进行 安全 设置 。 

QO 在 主机 上 可 使 用 网 络 和 主机 扫描 工具 检测 脆弱 性 、 采 用 NIDS 和 嗅 探 器 、 及 时 更 新 
系统 补丁 等 措施 防范 DDoS。 

@ 在 网 络 的 防火 墙 上 可 以 采取 禁止 对 主机 的 非 开 放 服 务 的 访问 、 限 制 同 时 打开 的 
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SYN 最 大 连接 数 、 限 制 特定 卫 地 址 的 访问 .严格 限制 开放 服务 器 的 对 外 访问 等 设置 ; 在 网 
络 路 由 器 上 采取 检查 每 一 个 经 过 路 由 器 的 数据 包 、 设 置 SYN 数据 包 流 量 速率 、 在 边界 路 由 
器 上 部 署 策略 、 使 用 CAR 限制 ICMP 数据 包 流量 速率 等 设置 。 


4. 缓冲 区 溢出 攻击 与 防范 


(1) 缓冲 区 溢出 及 攻击 

缓冲 区 是 用 户 为 程序 运行 时 在 计算 机 中 申请 的 一 段 连续 的 内 存 , 它 保存 给 定 类 型 的 数 
据 。 缓 冲 区 溢出 是 指 通过 向 程序 的 缓冲 区 写 入 超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ,从 而 
破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 的 指令 。 缓 冲 区 溢出 攻击 是 一 种 常见 且 危 害 很 大 的 
系统 攻击 手段 ,这 种 攻击 可 以 使 一 个 匿名 的 Internet 用 户 有 机 会 获得 一 台 主 机 的 部 分 或 全 
部 控制 权 。 

著名 的 “ 莫 里 斯 "蠕虫 就 利用 UNIX fingered 程序 不 限制 输入 长 度 的 漏洞 ,输入 512 个 
字符 后 使 缓冲 区 溢出 。 该 蠕虫 程序 以 root( 根 ) 身 份 运行 ,并 感染 到 其 他 机 器 上 。Slammer 
蠕虫 也 是 利用 未 及 时 更 新 补丁 的 MS SQL Server 数据 库 漏 洞 , 采 用 不 正确 的 方式 将 数据 发 
到 MS SQL Server 的 监听 端口 ,这 个 错误 可 以 引起 缓冲 区 溢出 攻击 ; 攻击 代码 通过 缓冲 溢 
出 获得 非法 权限 后 ,被 攻击 主机 上 的 SQLserver. exe 进程 尝试 向 随机 的 IP 地 址 不 断 发 送 攻 
击 代码 ,感染 其 他 机 器 ,最 终 形成 UDP Flood, 造 成 网 络 堵塞 其 至 瘫痪 。 

缓冲 区 溢出 攻击 的 目的 在 于 扰乱 具有 某 些 特权 运行 的 程序 功能 ,使 攻击 者 取得 程序 的 
控制 权 , 如 果 该 程序 具有 足够 的 权限 ,那么 整个 主机 就 被 控制 了 。 为 了 达到 这 个 目的 ,攻击 
者 一 是 要 在 程序 的 地 址 空间 里 安排 适当 的 代码 .二 是 要 适当 地 初始 化 寄存 器 和 存储 器 ,让 程 
序 跳 转 到 事先 安排 的 地 址 去 执行 。 因 此 采用 在 程序 的 地 址 空间 里 安排 适当 的 代码 ,控制 程序 
的 执行 流程 使 之 跳 转 到 攻击 代码 ,综合 代码 植 入 和 流程 控制 方法 实现 缓冲 区 溢出 攻击 。 

(2) 缓冲 区 溢出 攻击 的 防范 

缓冲 区 溢出 攻击 主要 利用 了 C 程序 中 数组 边境 条 件 、 函 数 指针 等 设计 不 当 的 漏洞 ,大 
多 数 Windows、Linux、UNIX 和 数据 库 系 列 的 开发 都 依赖 于 C 语言 ,而 C 语言 的 缺点 是 缺 
乏 类 型 安全 。 

缓冲 区 溢出 易于 实现 且 危 害 严 重 , 给 系统 的 安全 带 来 了 极 大 的 隐患 。 防 火 墙 对 这 种 攻 
击 方式 无 能 为 力 , 因 为 攻击 者 传输 的 数据 分 组 并 无 异常 特征 ,没有 任何 欺骗 。 另 外 可 以 用 来 
实施 缓冲 区 溢出 攻击 的 字符 串 非常 多 样 化 ,无 法 与 正常 数据 进行 有 效 区 分 。 缓 冲 区 溢出 攻 
击 不 是 一 种 窃 密 和 欺骗 手段 ,而 是 从 计算 机 系统 的 最 底层 发 起 的 攻击 ,在 它 的 攻击 下 系统 的 
身份 验证 和 访问 权限 等 安全 策略 形同虚设 。 

可 以 采用 以 下 几 种 基本 的 方法 防范 缓冲 区 溢出 攻击 。 

a 编写 正确 的 代码 

可 利用 一 些 工具 和 技术 来 帮助 程序 员 编 写 安全 正确 的 程序 ,如 编程 人 员 可 以 使 用 具有 
类 型 安全 的 语言 Java 以 避免 C 语言 的 缺陷 ; 在 C 语言 开发 环境 下 编程 应 避免 使 用 Gets、 
Sprintf 等 未 限定 边境 溢出 的 危险 函数 ; 使 用 检查 堆栈 溢出 的 编译 器 (如 Compaq C 编译 
器 ) 等 。 

@ 非 执行 缓冲 区 保护 

通过 使 被 攻击 程序 的 数据 段 地址 空间 不 可 执行 ,从 而 使 攻击 者 不 可 能 植 人 缓冲 区 的 代 
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码 ,这 就 是 非 执行 缓冲 区 保护 。 

@ 数组 边界 检查 

这 种 检查 可 防止 缓冲 区 溢出 的 产生 。 为 了 实现 数组 边界 检查 ,所 有 对 数组 的 读 写 操作 
都 应 当 被 检查 ,以 确保 在 正确 的 范围 内 对 数组 的 操作 。 最 直接 的 方法 是 检查 所 有 的 数组 操 
作 , 但 是 通常 可 以 采用 一 些 优化 的 技术 来 减少 检查 的 次 数 。 

@ 程序 指针 完整 性 检查 

这 种 检查 可 在 程序 指针 被 引用 之 前 检测 到 它 的 改变 。 因 此 ,即便 一 个 攻击 者 成 功 地 改 
变 了 程序 的 指针 ,由 于 系统 事先 检测 到 了 指针 的 改变 ,这 个 指针 就 不 会 被 使 用 。 

此 外 ,在 产品 发 布 前 仍 需 要 仔细 检查 程序 溢出 情况 ,将 威胁 降 至 最 低 。 作 为 普通 用 户 或 
系统 管理 员 , 应 及 时 为 自己 的 操作 系统 和 应 用 程序 更 新 补丁 ,以 修补 公开 的 漏洞 ,减少 不 必 
要 的 开放 服务 端口 ,合理 配置 自己 的 系统 。 


6.2.3 密码 保护 技巧 


利用 密码 设置 和 管理 漏洞 进行 攻击 是 多 数 黑客 常用 的 方法 。 攻 击 者 首先 是 寻找 系统 是 
否 存在 没有 密码 的 账户 ; 其 次 是 试探 系统 是 否 有 容易 猜 出 的 密码 ,尝试 登录 ; 三 是 使 用 密 
码 破译 一 类 的 工具 破解 。 而 存放 密码 的 文件 往往 是 攻击 者 首先 寻找 的 目标 。 

大 部 分 用 户 密码 被 盗 多 是 因为 缺少 网 络 安全 保护 意识 以 及 自我 保护 意识 ,以 致 被 黑客 
盗 取 密码 后 造成 重大 的 损失 。 现 介绍 几 例 密码 安全 和 保护 技巧 ,以 给 读者 。 


1. 密码 的 设置 


用 穷 举 法 破解 简单 且 位 数 较 少 的 密码 是 有 效 的 。 但 是 如 果 网 络 用 户 把 密码 设 得 较 长 ， 
而 且 没有 明显 的 规律 特征 (如 用 一 些 特殊 字符 和 数字 字母 组 合 ) ,那么 用 穷 举 法 破解 就 变 得 
非常 困难 ,这 样 可 提高 密码 的 安全 性 。 

对 系统 用 户 而 言 ,不 设置 密码 ( 空 密码 ) 或 设置 的 密码 与 用 户 名 相同 都 是 很 危险 的 。 一 
般 情况 下 ,密码 长 度 应 不 少 于 6 位 ,密码 中 最 好 包含 大 小 写字 符 、 数 字 、 标 点 符号 ,控制 字符 
和 空格 , 且 这 些 符号 交叉 混合 排序 。 用 纯 数字 、 姓 名 拼音 昵称、 出 生日 期 ,车 牌号 码 、 电 话 号 
码 、 常 用 证 件 号 码 、 公 司 名 或 部 门 名 ,或 其 他 很 容易 想到 的 相关 信息 (如 常用 词 简单 英文 单 
词 或 组 合 、 软 件 名 、 计 算 机 名 和 地 名 等 ) 作 为 密码 都 是 很 不 安全 的 ,应 加 以 避免 。 不 要 使 用 
111111、aaaaaa 等 简单 数字 /字符 的 重 倒 组合 和 连续 数字 或 顺序 字母 (如 654321、abcdef 等 ) 
作为 密码 。 


2. 密码 的 管理 原则 


要 保持 严格 的 密码 管理 观念 ,要 定期 更 换 密码 (如 每 月 或 每 季 更 换 一 次 ); 不 要 保存 密 
码 在 本 地 ,很 多 应 用 软件 (如 某 些 FTP 等 ) 保 存 的 密码 并 不 是 设计 得 非常 安全 ,如 果 本 地 没 
有 一 个 很 好 的 加 密 策略 , 那 将 为 黑客 破解 密码 提供 了 方便 ; 也 不 要 将 密码 写 在 笔记 本 、 台 
历 、 纸 巾 、 别 人 可 打开 的 文件 中 或 其 他 较 明显 的 媒体 上 。 不 要 重复 使 用 同一 密码 ,也 不 要 交 
蔡 使 用 两 个 密码 ; 不 要 让 人 看 见 自己 在 输入 密码 ,更 不 能 将 密码 告诉 他 人 。 

对 于 不 同 的 网 络 系统 应 设置 不 同 的 密码 ,对 于 重要 的 系统 应 使 用 更 为 安全 的 密码 ,不 要 
所 有 系统 使 用 同一 个 密码 。 对 于 那些 偶尔 登录 的 论坛 ,可 以 设置 简单 的 密码 ; 对 于 重要 的 
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信息 、. 电 子 邮件 ` 网 上 银行 等 ,必须 设置 较 复杂 的 密码 ; 如 果实 在 需要 ,还 可 以 将 密码 “加 密 ” 
后 保存 。 


3. 使 用 软 键盘 


通过 软 键盘 输入 密码 是 比较 容易 操作 的 ,是 目前 对 付 木 马 记 录 击 键 的 有 效 方法 。 软 键 
盘 也 叫 虚拟 键盘 ,用 户 在 输入 密码 时 , 先 打开 软 键盘 ,然后 用 鼠标 选择 相应 的 字母 输入 ,这 样 
就 可 以 避免 木马 记录 击 键 。 另 外 ,为 了 更 进一步 保护 密码 ,用 户 还 可 以 打 乱 输入 密码 的 顺 
序 , 这 样 就 可 进一步 增加 黑客 破解 密码 的 难度 。 

为 了 防止 计算 机 中 可 能 有 木马 窃取 重要 的 信息 ,建议 在 输入 用 户 名 或 卡号 时 采取 剪 切 / 
重 排 方 式 : 如 用 户 名 或 卡号 为 *123456789”, 输 入 时 先 输入 “567891234”, 再 利用 “ 剪 切 ”加 
“复制 ”功能 改 为 正确 的 号 码 。 这 样 ,记录 键盘 操作 的 木马 也 就 无 法 取得 正确 的 用 户 名 或 卡 
号 了 。 


4. 使 用 动态 密码 


动态 密码 (dynamic password) 也 称 一 次 性 密码 , 它 是 指 用 户 的 密码 按照 时 间或 使 用 次 
数 不 断 地 动态 变化 ,每 个 密码 只 使 用 一 次 。 动 态 密码 对 于 截屏 破解 非常 有 效 , 因 为 即使 截屏 
破解 了 密码 ,也 仅仅 破解 了 一 个 密码 ,下 一 次 登录 时 不 会 再 使 用 这 个 密码 。 

基于 硬件 技术 的 动态 密码 锁 采 用 一 种 称 为 动态 令 牌 的 专用 硬件 。 该 硬件 内 置 电源 、 密 
码 生 成 芯片 和 显示 屏 , 使 用 该 硬件 可 以 产生 动态 的 一 次 性 密码 。 该 密码 锁 在 使 用 前 必须 输 
入 静态 的 PIN 码 才 能 进入 产生 密码 ,只 有 持 有 密码 锁 且 知道 PIN 码 的 用 户 才能 产生 动态 密 
人 码 。 采 用 硬件 的 不 可 复制 特性 ,使 得 密码 的 产生 与 终端 分 离 ,安全 性 高 于 软件 方式 。 由 于 每 
次 使 用 的 密码 必须 由 动态 令 牌 来 产生 ,而 用 户 每 次 使 用 的 密码 都 不 相同 ,因此 黑客 很 难 计算 
出 下 一 次 出 现 的 动态 密码 ,增强 了 安全 性 。 


5. 生物 特征 识别 


生物 特征 识别 技术 指 通过 计算 机 ,利用 人 体 所 固有 的 生理 特征 或 行为 特征 来 进行 个 人 
身份 鉴定 。 常 用 的 生物 特征 有 指纹 、 掌 纹 、 视 网 膜 、 声 音 、 笔 迹 、 脸 像 等 。 生物 特征 识别 是 一 
种 简单 可 靠 的 生物 密码 技术 ,该 技术 认定 的 是 人 本 身 。 由 于 每 个 人 的 生物 特征 具有 与 其 他 
人 不 同 的 唯一 性 ,以 及 在 一 定时 期 内 不 变 的 稳定 性 ,不 易 被 伪造 和 假冒 。 因 此 ,建议 用 户 在 
条 件 允 许 的 情况 下 ,采用 生物 特征 密码 技术 进行 识别 。 目 前 ,在 人 体 特征 识别 技术 市 场 上 ， 
占有 率 最 高 的 是 指纹 机 和 手 形 机 ,这 两 种 识别 方式 也 是 目前 最 成 熟 的 技术 。 


6.3 网 络 防火 墙 安全 


Internet 的 迅速 发 展 给 现代 人 的 生产 和 生活 都 带 来 了 前 所 未 有 的 影响 ,大 大 提高 了 工 
作 效 率 ,丰富 了 人 们 的 精神 和 文化 生活 。 但 由 于 Internet 是 一 个 开放 式 的 全 球 性 网 络 ,其 结 
构 错 综 复杂 ,网 上 的 浏览 访问 不 仅 使 数据 传输 量 增加 ,网 络 被 攻击 的 可 能 性 也 增 大 。 因 此 ， 
网 络 的 安全 性 问题 成 为 当今 最 热门 的 话题 之 一 ,很 多 企业 为 了 保障 自身 服务 器 或 数据 安全 
都 采用 了 防火 墙 设置 。 随 着 科技 的 发 展 ,防火 墙 也 逐渐 被 大 众 所 接受 。 
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6.3.1 网 络 防火 墙 概述 
1. 防火 墙 的 概念 


为 了 保护 网 络 (特别 是 企业 内 部 网 一 一 Intranet) 资 源 的 安全 , 人们 创建 了 网 络 防火 墙 。 
就 像 建筑 物 防火 墙 或 护城河 能 够 保护 建筑 物 及 其 内 部 资源 安全 或 保护 城市 免 受 侵害 一 样 ， 
网 络 防 火 墙 能 够 防止 外 部 网 上 的 各 种 危害 侵入 到 内 部 网 络 。 目 前 ,防火 墙 已 在 Internet 上 
得 到 了 广泛 的 应 用 ,并 逐步 在 Internet 之 外 得 到 应 用 。 

网 络 防火 墙 是 隔离 在 本 地 网 络 与 外 界 网 络 之 间 所 设立 的 执行 访问 控制 策略 的 一 道 防御 
系统 , 它 可 防止 发 生 不 可 预测 的 外界 对 内 部 网 资源 的 非法 访问 或 潜在 破坏 性 的 侵入 。 应 该 
说 ,在 Internet 上 防火 墙 是 一 种 非常 有 效 的 网 络 安全 措施 ,通过 它 可 以 隔离 风险 区 域 
(Internet 或 有 一 定 风险 的 网 络 ) 与 安全 区 域 ( 企 业内 部 网 ,也 可 称 为 可 信任 网 络 ) 的 连接 , 同 
时 不 会 妨碍 人 们 对 风险 区 域 的 访问 。 

网 络 防 火 墙 是 目前 实现 网 络 安全 策略 的 最 有 效 的 工具 之 一 ,也 是 控制 外 部 用 户 访问 内 
部 网 的 第 一 道 关口 。 防 火 墙 的 设置 思想 就 是 在 内 部 .外 部 两 个 网 络 之 间 建 立 一 个 具有 安全 
控制 机 制 的 安全 控制 点 ,通过 人 允许、 拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 , 来 实现 对 内 部 网 
服务 和 访问 的 安全 审计 和 控制 。 防 火 墙 虽 然 可 以 在 一 定 程度 上 保护 内 部 网 的 安全 ,但 内 部 
网 还 应 有 其 他 的 安全 保护 措施 ,这 是 防火 墙 所 不 能 代替 的 。 客 观 地 讲 , 防 火 墙 并 不 是 解决 网 
络 安全 问题 的 万 能 药方 ,而 只 是 网 络 安全 政策 和 策略 中 的 一 个 组 成 部 分 。 


2. 防火 墙 的 功能 


防火 墙 的 作用 是 防止 不 希望 的 ,未 授权 的 通信 进出 被 保护 的 网 络 ,使 机 构 强 化 自己 的 网 络 
安全 政策 。 由 于 防火 墙 设 定 了 网 络 边界 和 服务 ,因此 更 适合 于 相对 独立 的 网 络 (如 Intranet) 。 
事实 上 ,在 Internet 上 的 Web 网 站 中 ,超过 三 分 之 一 的 网 站 都 是 由 某 种 形式 的 防火 墙 加 以 保护 
的 。 防 火 墙 能 够 限制 非法 用 户 从 一 个 被 严格 保护 的 设备 上 进入 或 离开 ,从 而 有 效 地 阻止 对 内 
部 网 的 非法 入 侵 。 但 由 于 防火 墙 只 能 对 跨越 边界 的 信息 进行 检测 ,控制 ,而 对 网 络 内 部 人 员 的 
攻击 不 具备 防范 能 力 ,因此 单独 依靠 防火 墙 来 保护 内 部 网 络 的 安全 是 不 够 的 ,还 必须 与 人 侵 检 
测 系统 (IDS) 安全 扫描 ,应急 处 理 等 其 他 安全 措施 综合 使 用 才能 达到 目的 。 

一 般 来 说 ,防火 墙 在 配置 上 可 防止 来 自 “ 外 部 ”未 经 授权 的 交互 式 登录 ,这 大 大 有 助 于 防 
止 破坏 者 登录 到 网 络 用 户 的 计算 机 上 。 一 些 设计 更 为 精巧 的 防火 墙 既 可 以 防止 来 自 外 部 的 
信息 流 进入 内 部 ,又 允许 内 部 的 用 户 可 以 自由 地 与 外 部 通信 。 如 果 切 断 防火 墙 ,就 可 以 保护 
用 户 免 受 网 络 上 任何 类 型 的 攻击 。 

防火 墙 的 另 一 个 非常 重要 的 作用 是 可 以 提供 一 个 单独 的 “阻塞 点 ”, 在 “阻塞 点 "上 设置 安 
全 和 审计 检查 。 防 火 墙 可 提供 一 种 重要 的 记录 和 审计 功能 : 经 常 向 管理 员 提供 一 些 情况 概 
要 ,提供 有 关 通 过 防火 墙 的 数据 流 的 类 型 和 数量 ,以 及 有 多 少 次 试图 冯 入 防火 墙 的 企图 等 


信息 。 
6.3.2 防火 墙 技 术 
防火 墙 技术 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 , 越 
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来 越 多 地 被 应 用 于 专用 网 络 与 公用 网 络 的 互 连 环境 中 ,尤其 以 接 入 Internet 网 络 最 普遍 。 
防火 墙 可 通过 监测 .控制 跨越 防火 墙 的 数据 流 , 尽 可 能 地 对 外 界 屏蔽 内 部 网 络 的 信息 、 结 构 
和 运行 状况 ,以 此 来 实现 内 部 网 络 的 安全 保护 。 

常用 的 防火 墙 技 术 有 包 过 滤 技 术 、 代 理 服务 技术 状态 检测 技术 和 自 适应 代理 技术 。 通 
常 也 可 将 几 种 防火 墙 技术 组 合 在 一 起 使 用 ,以 弥补 各 自 的 缺陷 ,增加 系统 的 安全 性 能 。 


1. 包 过 滤 技 术 


包 过 滤 (packet filtering) 技 术 应 用 于 网 络 层 防 火 墙 , 该 技术 根据 网 络 层 和 传输 层 的 原则 
对 传输 的 信息 进行 过 滤 。 因 此 ,利用 包 过 滤 技 术 在 网 络 层 实现 的 防火 墙 也 称 为 包 过 滤 防 
火 墙 。 

包 过 滤 技 术 在 网 络 的 出 入 口 ( 如 路 由 器 ) 对 通过 的 数据 包 进行 检查 和 选择 。 选 择 的 依据 
是 系统 内 设置 的 过 滤 逻 辑 ( 包 过 滤 规 则 )。 通 过 检查 数据 流 中 每 个 数据 包 的 源 地 址 .目的 地 
址 .所 用 的 端口 号 ,协议 状态 或 它们 的 组 合 ,来 确定 是 否 允 许 该 数据 包 通 过 。 通 过 检查 ,只 有 
满足 条 件 的 数据 包 才 允许 通过 ,否则 被 殷 弃 (过 滤 掉 ) 。 如 果 防 火 墙 中 设 定 某 一 IP 地 址 的 
站 点 为 不 适宜 访问 的 站 点 , 则 从 该 站 点 地 址 来 的 所 有 信息 都 会 被 防火 墙 过 滤 掉 。 这 样 可 
以 有 效 地 防止 恶意 用 户 利用 不 安全 的 服务 对 内 部 网 进行 攻击 。 包 过 滤 防 火 墙 要 遵循 的 
一 条 基本 原则 就 是 “最 小 特权 原则 ”, 即 明确 允许 管理 员 和 希望 通过 的 那些 数据 包 , 禁 止 其 
他 的 数据 包 。 

在 网 络 上 传输 的 每 个 数据 包 都 可 分 为 数据 和 包头 两 部 分 。 包 过 滤器 就 是 根据 包头 信息 
来 判断 该 包 是 否 符合 网 络 管理 员 设 定 的 规则 表 中 的 规则 ,以 确定 是 否 允 许 数 据 包 通过 。 包 
过 滤 规 则 一 般 是 基于 部 分 或 全 部 报头 信息 的 ,如 IP 协议 类 型 .IP 源 地 址 、IP 选择 域 的 内 容 、 
TCP 源 端口 号 .TCP 目标 端口 号 等 。 例 如 , 包 过 滤 防 火 墙 可 以 对 来 自 特定 的 Internet 地 址 
信息 进行 过 滤 , 或 者 只 允许 来 自 特定 地 址 的 信息 通过 。 如 果 将 过 滤器 设置 成 只 允许 数据 包 
通过 TCP 端口 80( 标 准 的 HTTP 端口 ) ,那么 在 其 他 端口 ,如 端口 25( 标 准 的 SMTP 端口 ) 
上 的 服务 程序 的 数据 包 均 不 得 通过 。 

包 过 滤 防 火 墙 既 可 以 允许 授权 的 服务 程序 和 主机 直接 访问 内 部 网 络 , 也 可 以 过 滤 指 
定 的 端口 和 内 部 用 户 的 Internet 地 址 信息 。 大 多 数 包 过 滤 防 火 墙 的 功能 可 以 设置 在 内 部 
网 络 与 外 部 网 络 之 间 的 路 由 器 上 ,作为 第 一 道 安全 防线 。 路 由 器 是 内 部 网 络 与 Internet 
连接 必 不 可 少 的 设备 ,因此 在 原 有 网 络 上 增加 这 样 的 防火 墙 软件 几乎 不 需要 任何 额外 的 
费用 。 


2. 代理 服务 技术 


代理 服务 器 防火 墙 工 作 在 OSI 模型 的 应 用 层 , 它 掌握 着 应 用 系统 中 可 用 作 安 全 决策 的 
全 部 信息 ,因此 ,代理 服务 器 防火 墙 又 称 应 用 层 网 关 。 这 种 防火 墙 通过 一 种 代理 (proxy) 技 
术 参 与 到 一 个 TCP 连接 的 全 过 程 。 

代理 服务 器 是 指 代表 客户 处 理 在 服务 器 连接 请 求 的 程序 。 当 代理 服务 器 得 到 一 个 客户 
的 连接 请 求 时 ,对 客户 的 请 求 进行 核实 ,并 经 过 特定 的 安全 化 proxy 应 用 程序 处 理 连 接 请 
求 , 将 处 理 后 的 请 求 传递 到 真正 的 Internet 服务 器 上 ,然后 接受 服务 器 应 答 。 代 理 服 务 器 对 
真正 服务 器 的 应 答 做 进一步 处 理 后 ,将 答复 交 给 发 出 请 求 的 终端 客户 。 代 理 服务 器 通常 运 
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行 在 两 个 网 络 之 间 , 它 对 于 客户 来 说 像 是 一 台 真 的 服务 器 ,而 对 于 外 部 网 的 服务 器 来 说 , 它 
又 似 一 台 客 户 机。 代理 服务 器 并 非 将 用 户 的 全 部 网 络 请 求 都 提交 给 Internet 上 的 真正 服务 
器 ,而 是 先 依据 安全 规则 和 用 户 的 请 求 做 出 判断 ,是 否 代理 执行 该 请 求 , 有 的 请 求 可 能 被 否 
决 。 当 用 户 提供 了 正确 的 用 户 身 份 及 认证 信息 后 ,代理 服务 器 建立 与 外 部 Internet 服务 器 
的 连接 ,为 两 个 通信 点 充当 中 继 。 内 部 网 络 只 接收 代理 服务 器 提出 的 要 求 ,拒绝 外 部 网 络 的 
直接 请 求 。 代 理 服务 器 的 原理 示意 图 如 图 6. 18 所 示 。 


1 代理 - - 
内 部 网 络 服务 器 Internet 
”| 的 连 拉 。 | 
客户 机 一 = 一 es 
| 实际 的 连接 Se 


图 6.18 代理 服务 器 的 工作 示意 图 


一 个 代理 服务 器 本 质 上 就 是 一 个 应 用 层 网 关 , 即 一 个 为 特定 网 络 应 用 而 连接 两 个 网 络 
的 网 关 。 代 理 服务 器 像 一 堵 墙 一 样 挡 在 内 部 用 户 和 外 界 之 间 ,分 别 与 内 部 和 外 部 系统 连接 ， 
是 内 部 网 与 外 部 网 的 隔离 点 ,起 着 监视 和 隔绝 应 用 层 通信 流 的 作用 。 从 外 部 只 能 看 到 该 代 
理 服务 器 而 无 法 获知 任何 的 内 部 资源 (如 用 户 的 IP 地 址 ) 。 

代理 服务 可 以 实现 用 户 认证 .详细 日 志 、 审 计 跟 踪 和 数据 加 密 等 功能 ,并 实现 对 具体 协 
议 及 应 用 的 过 滤 , 如 阻塞 Java 或 Java Script。 代 理 服务 技 术 能 完全 控制 网 络 信息 的 交换 ， 
控制 会 话 过 程 ,具有 灵活 性 和 安全 性 ,但 可 能 影响 网 络 的 性 能 ,对 用 户 不 透明 , 且 对 每 一 种 服 
务 器 都 要 设计 一 个 代理 模块 ,建立 对 应 的 网 关 层 ,实现 起 来 比较 复杂 。 


3. 状态 检测 技术 


状态 检测 (stateful inspection) 技 术 由 Check Point 率先 提出 ,又 称 为 动态 包 过 滤 技 术 。 
状态 检测 技术 是 新 一 代 的 防火 墙 技术 。 这 种 技术 具有 非常 好 的 安全 特性 , 它 使 用 了 一 个 在 
网 关上 执行 网 络 安全 策略 的 软件 模块 , 称 为 检测 引擎 。 检 测 引 擎 支持 多 种 协议 和 应 用 程序 ， 
并 可 以 很 容易 地 实现 应 用 和 服务 的 扩充 。 与 前 两 种 防火 墙 不 同 , 当 用 户 访问 请 求 到 达 网 关 
的 操作 系统 前 ,状态 监视 器 要 收集 有 关 数 据 进行 分 析 , 结 合 网 络 配置 和 安全 规定 做 出 接纳 或 
拒绝 .身份 认证 、 报 警 处 理 等 动作 。 一 旦 某 个 访问 违反 了 安全 规定 ,该 访问 就 会 被 拒绝 ,并 报 
告 有 关 状 态 , 做 日 志 记录 。 

状态 检测 技术 监视 和 跟踪 每 一 个 有 效 连接 的 状态 ,并 根据 这 些 信息 决定 网 络 数据 包 是 
和 否 能 通过 防火 墙 。 它 在 协议 栈 底层 截取 数据 包 , 然 后 分 析 这 些 数 据 包 , 并 且 将 当前 数据 包 和 
状态 信息 与 前 一 时 刻 的 数据 包 和 状态 信息 进行 比较 ,从 而 得 到 该 数据 包 的 控制 信息 ,来 达到 
保护 网 络 安全 的 目的 。 

状态 检测 技术 试图 跟踪 通过 防火 墙 的 网 络 连接 和 包 , 这 样 它 就 可 以 使 用 一 组 附加 的 标 
准 , 以 确定 是 否 允 许 和 拒绝 通信 。 状 态 检 测 防火 墙 是 在 使 用 了 基本 包 过 滤 防 火 墙 的 通信 上 
应 用 一 些 技 术 来 做 到 这 一 点 的 。 为 了 跟踪 包 的 状态 ,状态 检测 防火 墙 不 仅 跟踪 包 中 包含 的 
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信息 ,还 记录 有 用 的 信息 以 帮助 识别 包 。 

状态 检测 技术 结合 了 包 过 滤 技 术 和 代理 服务 技术 的 特点 。 与 包 过 滤 技 术 一 样 的 是 它 对 
用 户 透明 ,能 够 在 OSI 网 络 层 上 通过 IP 地 址 和 端口 号 过 滤 进 出 的 数据 包 ; 与 代理 服务 技术 
一 样 的 是 可 以 在 OSI 应 用 层 上 检查 数据 包 内 容 , 查 看 这 些 内 容 是 否 能 符合 安全 规则 。 


4. 自 适 应 代理 技术 


自 适应 代理 (adaptive proxy) 技 术 本 质 上 也 属于 代理 服务 技术 ,但 它 也 结合 了 状态 检测 
技术 。 自 适应 代理 技术 是 最 近 在 商业 应 用 防火 墙 中 实现 的 一 种 革命 性 的 技术 。 它 结合 了 代 
理 服务 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 保证 安全 性 的 基础 上 将 代理 服 
务 器 防火 墙 的 性 能 提高 10 倍 以 上 。 

在 对 防火 墙 进行 配置 时 ,用 户 仅仅 将 所 需要 的 服务 类 型 .安全 级 别 等 信息 通过 相应 代理 
的 管理 界面 进行 设置 就 可 以 了 。 然 后 , 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 
代理 服务 器 从 应 用 层 代理 请 求 , 还 是 使 用 动态 包 过 滤器 从 网 络 层 转发 包 。 如 果 是 后 者 , 它 将 
动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ,满足 用 户 对 速度 和 安全 性 的 双重 要 求 。 


6.3.3 ”网络 防 火 墙 应 用 实例 一 一 Windows 防火 墙 的 应 用 


Windows XP 的 Windows 防火 墙 是 取代 原来 的 Internet 连接 防火 墙 (ICF) 的 更 新 版 
本 。ICF 是 Internet Connection Firewall 的 简称 , 它 建立 在 用 户 计算 机 与 Internet 之 间 , 可 
以 使 用 户 请 求 的 数据 通过 ,阻碍 没有 请 求 的 数据 包 , 是 一 个 基于 包 的 防火 墙 。Windows 防 
火 墙 默认 设置 为 开启 状态 ,并 且 支 持 IPv4 和 IPv6 两 种 网 络 协议 ,可 以 为 用 户 的 电脑 提供 更 
多 的 安全 保护 。 在 大 多 数 情况 下 ,系统 会 自动 提醒 用 户 进行 安全 设置 ,包括 杀毒 软件 .防火 
墙 以 及 系统 补丁 自动 更 新 。 当 Windows 防火 墙 打 开 后 ,如 果 设 置 得 当 可 以 从 一 定 程度 上 加 
强 系统 的 安全 。 

与 ICF 相 比 ,Windows 防火 墙 的 配置 界面 更 加 美观 。Windows 防火 墙 还 具有 一 些 新 
的 特性 ,如 本 地 子 网 限制 ,应 用 到 所 有 连接 的 通用 配置 选项 ,内 建 IPv6 支持 ,新 的 组 策略 
配置 选项 ,可 通过 应 用 程序 的 文件 名 指定 特定 的 通信 (ICF 只 能 指定 端口 ,而 不 能 指定 程 
序 ) 等 。 


1. 打开 Windows 防火 墙 控制 台 


在 Windows XP 系统 ,执行 “开始 ”一 “设置 "一 控制 面板 "命令 ,在 控制 面板 中 双击 
“Windows 防火 墙 ” 图 标 , 打 开 “Windows 防火 墙 ” 控 制 台 ,如 图 6. 19 所 示 。 

Windows 防火 墙 控制 台 窗 口 有 常规 、 例 外 和 高 级 三 个 选项 卡 。 在 “常规 ”选项 卡 中 有 
“启用 (推荐 )” 和 “关闭 (不 推荐 )” 两 个 主 选 项 ,一 个 “不 允许 例外 ” 子 选 项 。“ 启 用 (推荐 )”" 表 
示 启 用 Windows 防火 墙 ; 当选 择 “ 不 允许 例外 ”后 Windows 防火 墙 将 拦截 所 有 连接 该 计算 
机 的 网 络 请 求 , 包括 在 例外 标签 中 列表 的 应 用 程序 和 系统 服务 。 此 外 ,Windows 防火 墙 也 
将 拦截 文件 和 打印 机 共享 ,以 及 网 络 设备 的 侦 测 。 使 用 “不 允许 例外 ”选项 的 Windows 防火 
墙 比 较 适用 于 连接 在 公共 网 络 上 的 个 人 计算 机 , 它 拦截 了 绝 大 部 分 应 用 程序 ,但 仍然 可 以 浏 
览 网 页 ,发送 和 接收 电子 邮件 、 使 用 即时 通信 软件 。 
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三 Windows 防火 过 
常规 。 | 例外 | 高 级 


区 Winders 防 业 下 在 得 助 保护 作 的 电脑 


认 ndows 防火 培 通 过 阴 目 未 授权 用 户 通 过 Internet 或 网 络 访问 您 的 计算 
机 来 帮 ] 计算 机 。 


入 TO 
此 设置 阻止 所 有 外 部 源 连 接 到 计算 机 ， 除 了 在 “例外 ”选项 卡 
上 选择 的 例外 。 


回 不 允许 例外 @) 


不 : ] | 公共 网 结 时 请 中 


口 关闭 (下 推荐 ) ED) 
潜入 从 灶 加 亲 闪 indows 防火 墙 可 能 使 计算 机 更 容易 受 


了 解 Windovs 防火 墙 的 其 地 信息 


图 6.19 “Windows 防火 墙 ?控制 台 
2. 添加 例外 程序 或 端口 


当 用 户 在 本 地 运行 一 个 应 用 程序 并 将 其 作为 Internet 服务 器 提供 服务 时 , Windows 防 
火 墙 将 会 弹出 一 个 新 的 安全 警报 对 话 框 。 通 过 对 话 框 中 的 选项 可 以 将 此 应 用 程序 或 服务 添 
加 到 Windows 防火 墙 的 例外 项 中 。Windows 防火 墙 的 例外 项 配置 将 允许 特定 的 进 站 连 
接 。 当 然 ,也 可 以 通过 手工 添加 程序 或 添加 端口 到 例外 项 中 。 

在 图 6. 19 中 打开 “例外 ”选项 卡 , 如 图 6. 20 所 示 。 在 “程序 和 服务 ” 栏 中 会 显示 通过 
Windows 防火 墙 的 程序 和 服务 ,选中 的 项 表示 可 通过 防火 墙 。 在 “例外 ”选项 卡 中 有 ”添加 
程序 ”“ 添 加 端口 "“ 编 辑 ”" 和 “删除 ”按钮 。 在 此 可 根据 具体 的 情况 手工 添加 和 删除 例外 项 。 
在 “添加 程序 ”按钮 下 添加 的 是 允许 通过 防火 墙 的 程序 。 如 果 不 清楚 某 个 应 用 程序 是 通过 哪 
个 端口 与 外 界 通 信 , 或 者 不 知道 它 是 基于 UDP 还 是 TCP 的 ,可 以 通过 “添加 程序 ”来 添加 
例外 项 。 例 如 ,要 允许 Windows Messenger 通信 , 则 单 击 “ 添 加 程序 ”按钮 ,选择 应 用 程序 
“C:\Program Files\Messenger\Messenger\msmsgs. exe” ,再 单 击 “ 确 定 ” 按 钮 , 即 可 将 其 加 
入 列表 。 如 果 对 端口 号 和 TCP/UDP 比较 熟悉 , 则 可 单 击 “ 添 加 端口 ”按钮 进行 添加 , 即 指 
定 端口 号 添加 。 选 中 名 称 下 的 程序 或 者 服务 选项 后 , 单 击 “ 添 加 端口 ”按钮 可 以 更 改 应 用 
程序 的 访问 端口 ,输入 名 称 后 在 端口 号 中 输入 允许 的 端口 号 ,然后 选中 TCP 或 者 UDP 网 
络 协议 。 选 中 名 称 下 的 程序 或 服务 选项 后 , 单 击 “ 编 辑 ”" 按 钮 可 以 更 改 应 用 程序 的 访问 
范围 。 

对 于 每 一 个 例外 项 ,在 “添加 程序 ”或 “添加 端口 "或 “编辑 ”下 均 可 以 通过 “更 改 范围 ” 指 
定 其 作用 域 ,如 图 6. 21 所 示 。 对 于 家 用 和 小 型 办 公 室 应 用 网 络 , 推 荐 设置 作用 域 为 可 能 的 
本 地 网 络 。 当 然 , 也 可 以 自 定义 作用 域 中 的 IP 范围 ,这 样 只 有 来 自 特定 的 IP 地 址 范围 的 网 
络 请 求 才能 被 接受 。 
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二 


Ye 防火 墙 正在 阻止 包括 下 列 选 定 的 程序 和 服务 在 内 的 传 入 网 络 连 


程序 各 际 劳 


名 称 

四 so?P+tsmfp | 
回 LiveUpdate360 

回 qyo 

回 sogou Pinyin Service 

口 WEnP 框架 

口 文件 和 打印 机 共享 

回 远程 协 肋 

口 远程 点 面 


Fr Fr CR | [|] 


回 Windows 防火 墙 阻止 程序 时 通知 我 如 
世 许 例外 存在 什么 网 辽 ? 


[mm | -mn) 
图 6.20 使 用 防火 墙 的 “例外 ”选项 卡 


3. 网 络 连接 设置 


打开 图 6. 19 中 的 “高 级 ”选项 卡 , 弹 出 如 图 6. 22 所 示 的 窗口 。 


了 “网 络 连 接 设置 "“ 安 全 日 志 记 录 
行 配置 。 

网 络 连接 设置 可 选择 Windows 防火 墙 应 
单独 的 配置 ， 


3 + 请 单 击 下 面 的 
到 请 辆 入 以 逗号 分 隔 的 匡 地 址 ， 子 网 或 同时 包括 IF 地 
TT 机 中 括 Tnternet 下 的 计算 机 IE 


人 妈 我 的 网 络 弛 同 ) 中 
侣 自 定 义 列表 C) 


示例 :192. 168.114. 201, 192. 166. 114. 201/255. 255. 255.0 


[Tm 已 到 


图 6.21 添加 选项 的 更 改 范围 


在 “高 级 ”选项 卡 中 包含 


录 ”“ICMP” 和 “上 默认 设置 "4 组 选项 ,可 以 根据 实际 情况 进 


用 到 哪些 连接 上 ,当然 也 可 以 对 某 个 连接 进行 
这 样 可 以 使 防火 墙 应 用 更 灵活 。 选 择 一 个 使 用 的 连接 , 单 击 * 设 置 "按钮 进入 


级 设置 "对话 框 , 如 图 6. 23 所 示 , 有 服务 和 ICMP 两 个 选项 卡 。 


Windows 防火 壤 


Exam 
网 络 连 接 设置 


为 的 连接 自用 了 findeyz 防火 墙 。 要 为 每 个 连接 单独 朱 加 例 
办 


Erc ee 国 本 EE 


回 Wiware Hetwork Adapter VlinetB 


Bt 用 户 可 以 访问 的 运行 于 您 的 网 络 上 的 服 


服务 
> 
口 Internet 邮件 访问 协议 版 本 3 (TMAP3) 
安全 日 志 记 录 口 Internet 邮件 访问 协议 版 本 4 (TMAP4) 
您 可 以 外 建 用 于 后 难 解答 的 日 志文 件 。 口 Fateernet 邮件 服务 器 SNTP) 
口 Post-0ffice 协议 版 本 3 (POP3) 
口 Telnet 服务 器 
ICHP 口 Yeb 服务 器 OTTF) 
过 Internme UcnF) , 网络 上 的 计 三 二 于 ] 口 安全 Web 服务 器 QTTPS) 
时 人 口 远程 点 面 
WE 
格 所 有 人 adoys 防火 地 设置 还 原 为 默认 状态 ， 
人 
ET ER 拥 除 下 
[Em [3 | 
图 6.22 “高 级 ”选项 卡 图 6.23 “高 级 设置 ”的 “服务 ”选项 卡 
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(1) 服务 设置 

在 “服务 ”选项 卡 中 有 Windows XP 自 带 的 一 些 服务 ,用 户 可 选择 自己 想 要 的 服务 。 如 
果 觉 得 这 些 自 带 的 服务 不 够 或 者 不 理想 ,可 以 单 击 “ 添 加 ”按钮 ,手工 添加 自 定义 的 服务 ,如 
图 6. 24 所 示 。 

(2) ICMP 设置 

Internet 控制 消息 协议 (ICMP) 人 允许 网 络 上 的 计算 机 共享 错误 和 状态 信息 。 在 ICMP 
设置 对 话 框 中 选 定 某 一 项 时 ,界面 下 方 会 显示 出 相应 的 描述 信息 ,可 以 根据 需要 进行 配置 。 
在 默认 状态 下 ,所 有 的 ICMP 都 没有 打开 。 

打开 ICMP 选项 卡 , 如 图 6. 25 所 示 。ICMP 是 Internet 控制 信息 协议 ,所 有 支持 TCP/ 
IP 的 网 络 都 支持 ICMP。 通 过 ICMP 的 反馈 信息 来 确定 网 络 的 状态 。 在 实际 应 用 中 , 若 要 
ping 一 个 IP 地 址 ,就 是 ICMP 把 ping 的 结果 返回 给 ping 命令 的 发 送 者 ,从 而 让 发 送 者 知 
道 网 络 的 状态 。 


服务 |Icmz | 
eg 服务 设置 


服务 。 ”| 服务 描述 由) 
口 FTF 服务 [uma 


Be 


允许 传 入 回 显 请 求 A 
Ne 计算 机 的 名 口 允 评传 入 时 间 避 请求 
9 | 口 从 许 信和 扩 码 清 求 
| 202.120.30.85 i 口 允 许 传 入 路 由 器 请 求 
口 允 洗 传 出 不 可 达 目 标 
口 区 许 传 出 源 抑制 
口 区 许 传 出 参数 问题 
口 允 许 传 出 时 间 超 时 
口 区 许 重 定向 图 


| 苍术 


rt 


口 45 


| rm Omm 


此 服务 的 内 部 端口 号 I) 
8688 


图 6.24 添加 服务 图 6.25 “高 级 设置 "的 ICMP 选项 卡 


4. 安全 日 志 设 置 


Windows 防火 墙 的 安全 记录 功能 可 以 提供 一 种 方式 来 创建 防火 墙 活动 的 日 志文 件 ,能 
够 记录 被 许可 的 和 被 拒绝 的 通信 。 例 如 ,默认 情况 下 ,防火墙 不 允许 来 自 Internet 的 传人 回 
显 请 求 通过 。 如 果 没 有 启用 ICMP 的 “人 允许 传人 的 回 显 请 求 " 项 ,那么 传人 请 求 将 失败 ,并 生 
成 传人 失败 的 日 志 项 。 在 日 志文 件 选项 中 ,可 以 更 改 记录 文 件 存放 的 位 置 , 还 可 以 手工 指定 
日 志文 件 的 大 小 。 

单 击 图 6. 22 中 “安全 日 志 记 录 ” 的 “设置 "按钮 ,弹出 如 图 6. 26 所 示 ”* 日 志 设置 窗口。 
“记录 选项 ” 栏 中 的 设置 可 以 记录 防火 墙 的 跟踪 记录 ,包括 丢弃 和 成 功 的 所 有 事项 。 
Windows XP 默认 的 选项 是 不 记录 任何 拦截 或 成 功 的 事项 ,车 要 启用 记录 不 成 功 的 入 站 连 
接 尝 试 ,请 选中 “记录 被 丢弃 的 数据 包 " 复 选 框 ,否则 禁用 。 

通过 “日 志文 件 选项 "可 以 更 改 记录 文件 存放 的 目录 ; 生成 安全 日 志 时 使 用 的 格式 是 
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W3C 扩展 日 志文 件 格式 ,这 与 在 常用 日 志 分 析 工 
具 中 使 用 的 格式 类 似 。 若 要 更 改 安全 日 志文 件 的 
路 径 和 文件 名 ,可 单 击 图 6. 26 中 的 “另存 为 "按钮 ， 
浏览 选择 要 存放 日 志文 件 的 位 置 。 在 “名 称 ”文本 
框 中 ,输入 新 的 日 志文 件 名 ,然后 单 击 * 确 定 "按钮 ， 
文件 打开 后 可 查看 其 内 容 。 ENET 
通过 “大 小 限制 "可 以 修改 记录 文件 的 大 小 , 避 | xm [ws 加 
免 过 度 占 用 空间 。 该 项 目的 设置 可 以 根据 用 户 的 
需要 进行 。Windows XP 记录 文件 的 大 小 默认 是 亡 枉 
4M(4096B) 。 


图 6.26 设置 防火 墙 日 志 
5. 默认 设置 
如 果 要 将 所 有 Windows 防火 墙 设置 恢复 为 默认 状态 ,可 在 图 6. 22 中 的 “默认 设置 "处 
单 击 “ 还 原 为 默认 值 ” 按 钮 , 即 可 将 前 面 所 有 Windows 防火 墙 设置 还 原 为 默认 状态 。 


6. 组 策略 设置 


Windows 防火 墙 也 可 以 通过 组 策略 进行 防火 墙 状态 、 允 许 的 例外 等 设置 。 其 操作 过 程 
如 下 : 

第 1 步 : 选择 “开始 ”一 “运行 "菜单 ,在 “运行 "对话 框 中 输入 gpedit. msc 并 按 回 车 键 , 打 
开 Windows XP 组 策略 编辑 器 ,如 图 6. 27 所 示 。 进 入 组 策略 编辑 器 后 ,就 可 以 用 它 配置 
Windows 防火 墙 了 。 


文件 四 操作 人 ) 查看 WW 帮助 0 
所 > 名 国药 办 
可 “本 地 计算 机 ”第 略 
日 国 计算 机 配置 

田 图 软件 设置 

外国 Yindows 设置 

日- 加 管理 模板 


图 6.27 Windows XP 组 策略 编辑 器 


第 2 步 : 从 左 侧 窗 格 中 依次 单 击 * 计 算 机 配置 >“ 管理 模板 ”>“ 网 络 ” 一 “网 络 连接 ”一 
“Windows 防火 墙 ? 项 。 从 图 中 Windows 防火 墙 下 可 以 看 到 两 个 分 支 设置 ,一 个 是 域 配置 
文件 ,一 个 是 标准 配置 文件 。 当 计算 机 连接 到 有 域 控制 器 的 网 络 中 ( 即 有 专门 的 管理 服务 
器 ) 时 ,是 域 配置 文件 起 作用 ; 否则 ,是 标准 配置 文件 起 作用 。 即 使 没有 配置 标准 配置 文件 ， 
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默认 的 值 也 会 生效 。 
7. 命令 行 配 置 


Windows 防火 墙 的 配置 和 状态 信息 还 可 以 通过 命令 行 工具 Netsh. exe 进行 。 可 在 命 
令 提 示 符 窗口 输入 netsh firewall 命令 获取 防火 墙 信 息 和 修改 防火 墙 设 定 。 
netsh firewall 命令 的 参数 及 其 含义 如 下 : 
。 ?: 显示 命令 列表 。 
add: 添加 防火 墙 配置 。 
delete: 删除 防火 墙 配置 。 
dump: 显示 一 个 配置 脚本 。 
help: 显示 帮助 列表 。 
reset: 将 防火 墙 配置 重 置 为 默认 值 。 
set: 设置 防火 墙 配置 。 
。 show: 显示 防火 墙 配置 。 
(1) 使 用 netsh firewall show allowedprogram 命令 可 查看 Windows 防火 墙 允许 的 应 
用 程序 。 
(2) 使 用 netsh firewall show 命令 可 查看 有 关 防 火 墙 的 帮助 信息 。 
(3) 使 用 netsh firewall add allowedprogram 命令 可 添加 防火 墙 允许 的 程序 配置 ,如 


add allowedprogram C:\MyApp\MyApp. exe MyApp ENABLE 


表示 允许 C:\MyApp\MyApp. exe 程序 通过 防火 墙 。 


6.4 入 侵 检测 系统 与 应 用 


和 信 侵 检测 系统 (Intrusion Detection System,IDS) 是 用 来 监视 和 检测 入 侵 事 件 的 系统 。 
IDS 不 仅 能 监测 外 来 干涉 的 入 侵 者 ,同时 也 能 监测 内 部 的 入 侵 行为 ,这 就 弥补 了 防火 墙 在 这 
方面 的 不 足 。 


6.4.1 入 侵 检 测 系 统 


1. IDS 的 概念 和 功能 


IDS 使 网 络 安全 管理 员 能 及 时 地 处 理 人 侵 警 报 , 通 过 向 管理 员 发 出 入侵 或 人 侵 企图 来 
加 强 当前 的 访问 控制 系统 ,识别 防火 墙 通常 不 能 识别 (如 来 自 企 业内 部 ) 的 攻击 ,在 发 现 人 侵 
企图 后 提供 必要 的 信息 ,提示 网 络 管理 员 有 效 地 监视 .审计 并 处 理 系统 的 安全 事件 。 由 于 入 
侵 事 件 的 危害 越 来 越 大 ,人 们 对 IDS 的 关注 也 越 来 越 多 。 对 入 侵 攻 击 的 检测 与 防范 ,保障 
计算 机 系统 、 网 络 系统 及 整个 信息 基础 设施 的 安全 等 已 经 成 为 人 们 关注 的 重要 课题 。IDS 
也 已 成 为 网 络 安全 体系 中 的 一 个 重要 环节 。 

防火 墙 为 网 络 安全 提供 了 第 一 道 防线 ,IDS 作为 防火 墙 之 后 的 第 二 道 安全 闸门 ,在 不 影 
响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 ， 
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从 而 也 极 大 地 减少 了 网 络 各 种 可 能 攻击 的 危害 。 

与 其 他 安全 产品 不 同 的 是 ,IDS 需要 更 多 的 智能 。 它 必须 能 对 得 到 的 数据 进行 分 析 ,并 
得 出 有 用 的 结果 。 一 个 成 功 的 IDS 不 但 能 大 大 简化 管理 员 的 工作 ,保证 网 络 安全 运行 ,使 
系统 管理 员 时 刻 了 解 网 络 系统 (包括 程序 ,文件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安 全 
策略 的 制定 提供 指导 。 入 侵 检测 的 规模 应 根据 网 络 威胁 、 系 统 构造 和 安全 需求 的 改变 而 改 
变 。IDS 在 发 现 和 人 侵 后 ,会 及 时 做 出 响应 ,包括 切断 网 络 连接 、 记 录 事件 和 报警 等 。 

IDS 通常 具有 以 下 功能 。 

@ 监视 用 户 和 系统 的 运行 状况 ,查找 非法 用 户 和 合法 用 户 的 越权 操作 。 

@ 对 系统 的 构造 和 弱点 进行 审计 。 

@ 识别 分 析 著 名 攻击 的 行为 特征 并 报警 。 

@ 对 异常 行为 模式 进行 统计 分 析 。 

@@ 评估 重要 系统 和 数据 文件 的 完整 性 。 

G@ 对 操作 系统 进行 跟踪 审计 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 

@ 容错 功能 。 即 使 系统 发 生 崩 溃 , 也 不 会 丢失 数据 ,或 在 系统 重新 启动 时 重建 自己 的 
信息 库 。 

基于 网 络 的 入侵 检测 系统 (NIDS) 设 置 在 比较 重要 的 网 段 内 ,其 数据 源 是 网 络 上 的 数据 
包 。NIDS 往往 将 一 台 机 器 的 网 卡 设 为 混杂 模式 ,不 停 地 监视 本 网 段 中 的 各 种 数据 包 , 对 每 
一 个 数据 包 进 行 特征 分 析 和 判断 。 如 果 数 据 包 与 系统 内 置 的 某 些 规则 吻合 ,NIDS 就 会 发 
出 警报 甚至 直接 切断 网 络 连接 。 目 前 ,大 部 分 IDS 产品 是 基于 网 络 的 。NIDS 由 遍及 网 络 
的 传感器 (sensor) 组 成 ,传感器 是 一 台 将 以 太 网 卡 置 于 混杂 模式 的 计算 机 ,用 于 嗅 探 网 络 上 

NIDS 的 优点 是 能 检测 出 来 自 网 络 的 攻击 和 超过 授权 的 非法 访问 ,不 影响 机 器 的 CPU、 
IO 与 磁盘 等 资源 的 使 用 ,系统 发 生 故 障 时 不 影响 正常 业务 的 运行 ,系统 安装 方便 ,实时 性 
好 ; NIDS 的 弱点 是 对 加 密 通信 无 能 为 力 ,对 高 速 网 络 无 能 为 力 , 不 能 预测 命令 的 执行 后 果 。 


2. 入 侵 检测 技术 


入 侵 检测 技术 是 为 保证 计算 机 网 络 系统 的 安全 而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报 
告 系统 异常 现象 的 技术 ,是 一 种 用 于 检测 计算 机 网 络 中 违反 安全 策略 行为 的 技术 。 从 具体 
的 检测 理论 来 看 ,IDS 的 检测 分 析 技术 主要 有 误 用 检测 技术 和 异常 检测 技术 两 大 类 。 

误 用 检测 技术 假定 所 有 的 和 人 侵 行为 和 手段 都 能 够 表达 一 种 模式 或 特征 。 如 果 将 以 往 发 
现 的 所 有 网 络 攻击 的 特征 总 结 出 来 ,并 建立 一 个 人 侵 信息 库 , 则 IDS 可 以 将 当前 捕获 到 的 
网 络 行为 特征 与 人 侵 信息 库 中 的 特征 信息 相 比 较 , 如 果 匹 配 , 则 当前 行为 就 被 认定 是 入 侵 
行为 。 

异常 检测 技术 是 指 根据 用 户 的 行为 和 系统 资源 的 使 用 状况 判断 是 否 存 在 网 络 入 侵 。 该 
技术 首先 假定 网 络 攻击 行为 是 不 常见 的 或 异常 的 ,区 别 于 所 有 的 正常 行为 。 如 果 能 够 为 用 
户 和 系统 的 所 有 正常 行为 总 结 活动 规律 并 建立 行为 模型 ,那么 IDS 可 以 将 当前 捕获 到 的 网 
络 行为 与 行为 模型 进行 比较 , 若 人 侵 行 为 偏离 了 正常 行为 轨迹 ,就 可 以 被 检测 出 来 。 

随 着 Internet 的 发 展 与 广泛 应 用 ,无 论 从 规模 还 是 方法 上 ,网络 人 侵 的 手段 与 技术 也 都 
有 了 进步 与 发 展 。 入 侵 技术 的 发 展 主要 反映 出 入 侵 的 综合 化 与 复杂 化 、 主 体 对 象 的 隐蔽 化 、 


第 6 章 “网络 攻 防 技术 与 应 用 实践 


规模 的 扩大 化 和 技术 的 分 布 化 等 特点 。 今 后 的 和 人 侵 检测 技术 大 致 可 向 分 布 式 人 侵 检 测 、 智 
能 化 人 侵 检测 全面 的 安全 防御 方案 改进 分 析 技 术 和 高 度 可 集成 化 等 方向 发 展 。 


3. 入 侵 检测 过 程 


从 总 体 来 说 ,IDS 进行 人 侵 检测 主要 有 信息 收集 和 信息 分 析 两 个 过 程 。 

信息 收集 过 程 的 收集 内 容 包 括 系 统 、 网 络 .数据 及 用 户 活动 的 状态 和 行为 。 应 在 网 络 系 
统 中 的 若干 不 同 关键 点 (不 同 网 段 和 不 同 主机 ) 收 集 信息 。 入 侵 检测 很 大 程度 上 依赖 于 收集 
到 的 信息 的 可 靠 性 和 正确 性 。 黑 客 对 系统 的 修改 可 能 使 系统 功能 失常 ,但 看 起 来 与 正常 情 
况 一 样 。 这 需要 保证 用 来 检测 网 络 系统 软件 的 完整 性 ,特别 是 IDS 软件 本 身 应 具有 相当 强 
的 坚固 性 ,防止 因 被 算 改 而 收集 到 错误 信息 。 

信息 分 析 过 程 一 般 通 过 模式 匹配 ,统计 分 析 和 完整 性 分 析 3 种 技术 手段 进行 ,主要 是 对 
收集 到 的 系统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 进行 分 析 。 模 式 匹配 就 是 将 收集 
到 的 信息 与 已 知 的 网 络 入 侵 和 系统 已 有 的 模式 数据 库 进 行 比 较 , 从 而 发 现 违反 安全 策略 的 
行为 ; 统计 分 析 为 系统 对 象 (如 用 户 、 文 件 、 目 录 和 设备 等 ) 创 建 一 个 统计 描述 ,统计 正常 使 
用 时 的 一 些 测量 属性 (如 访问 次 数 ,操作 失败 次 数 和 延 时 等 ) ,测量 属性 的 平均 值 将 被 用 来 与 
网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 侵 发 生 ; 完整 性 
分 析 利 用 强 有 力 的 加 密 机 制 来 识别 很 微小 的 变化 ,关注 某 个 文件 或 对 象 是 否 被 更 改 。 由 此 
可 见 ,模式 匹配 和 统计 分 析 方 法 用 于 实时 入 侵 检 测 ,而 完整 性 分 析 则 用 于 事后 分 析 。 


4. 入 侵 防 护 系 统 


防火 墙 旨 在 拒绝 那些 明显 可 疑 的 网 络 流量 ,但 仍 允 许 某 些 流量 通过 ,因此 它 对 很 多 人 侵 
攻击 无 计 可 施 。 虽 然 IDS 可 以 监视 网 络 传输 并 发 出 警报 ,通过 监视 网 络 和 系统 资源 ,寻找 
违反 安全 策略 的 行为 ,但 它 并 不 能 拦截 攻击 。 因 此 IDS 只 能 被 动 地 检测 攻击 ,而 不 能 主动 
地 把 变幻 莫 测 的 威胁 阻止 在 网 络 之 外 。 目 前 ,企业 所 面临 的 安全 问题 越 来 越 复杂 ,如 蠕虫、 
DDoS 攻击 .垃圾 邮件 等 极 大 地 困扰 着 用 户 ,给 企业 网 络 造成 严重 的 破坏 。 因 此 ,人 们 迫切 
需要 找到 一 种 主动 防护 入 侵 的 解决 方案 ,以 确保 企业 网 络 在 各 种 威胁 和 攻击 的 环境 下 正常 
运行 。 

和信 侵 防护 系统 (Intrusion Prevention System,IPS) 能 提供 主动 性 的 防护 ,其 设计 旨 在 预 
先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦截 ,避免 其 造成 损失 ,而 不 是 简单 地 在 恶意 流量 传送 
时 或 传送 后 才 发 出 警报 。IPS 是 通过 直接 嵌入 到 网 络 流量 中 而 实现 这 一 功能 的 , 即 通 过 一 
个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 
通过 另外 一 个 端口 将 它 传送 到 内 部 系统 中 。 这 样 一 来 ,有 问题 的 数据 包 和 所 有 来 自 同一 数 
据 流 的 后 续 数 据 包 都 能 够 在 IPS 设备 中 被 清除 掉 。 

IPS 是 一 种 主动 的 .积极 的 入侵 防范 和 阻止 系统 。 它 部 署 在 网 络 的 进出 口 处 , 当 它 检 测 
到 攻击 企图 后 ,就 会 自动 地 将 攻击 包 丢 掉 或 采取 措施 将 攻击 源 阻 断 。 因 此 ,从 实用 效果 上 
看 ,与 IDS 相 比 ,IPS 又 有 了 新 的 发 展 , 能 够 对 网 络 起 到 较 好 的 实时 防护 作用 。 

作为 一 种 透明 设施 ,IPS 是 整个 网 络 连接 中 的 一 部 分 。 为 了 防止 IPS 成 为 网 络 中 性 能 
薄弱 的 环节 ,IPS 需要 具有 出 色 的 宛 余 能 力 和 故障 切换 机 制 ,这 样 就 可 以 确保 网 络 在 发 生 故 
障 时 依然 能 够 正常 运行 。 除 了 作为 防御 前 沿 ,IPS 还 是 网 络 中 的 清洁 工具 ,能 够 清除 格式 不 
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正确 的 数据 包 和 非 关键 任务 应 用 ,使 网 络 带宽 得 到 保护 。 

基于 网 络 的 入 侵 防 护 系统 (NIPS) 通 过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 的 安全 保 
护 。 在 技术 上 ,NIPS 吸取 了 NIDS 的 所 有 成 熟 技术 ,包括 特征 匹配 .协议 分 析 和 异常 检测 。 
特征 匹配 是 最 广泛 的 应 用 技术 ,具有 准确 率 高 .速度 快 等 特点 。IPS 不 仅 可 进行 检测 ,还 能 
在 攻击 造成 损坏 之 前 阻 断 攻击 ,从 而 将 入 侵 检测 系统 提升 到 一 个 新 水 平 。 

NIPS 工作 在 网 络 上 ,直接 对 数据 包 进 行 检 测 和 阻 断 , 与 具体 的 主机 /服务 器 操作 系统 
平台 无 关 。 这 种 实时 检测 和 阻 断 功能 很 有 可 能 出 现在 未 来 的 交换 机 上 。 随 着 处 理 器 性 能 的 
提高 ,每 一 层次 的 交换 机 都 有 可 能 集成 人 侵 防 护 功能 。 


6.4.2 入 侵 检测 系统 应 用 实例 一 一 Snort 软件 工具 的 应 用 


Snort 是 一 个 基于 libpcap 的 、 开 放 源 代码 的 数据 包 嗅 探 器 ,并 可 以 作为 一 个 轻 量 级 的 
网 络 人 侵 检 测 系统 (NIDS) 。 轻 量 级 是 指 在 检测 时 尽 可 能 少 地 影响 网 络 的 正常 操作 。Snort 
可 以 运行 在 多 种 操作 平台 上 ,如 UNIX 系列 (需要 libpcap 库 支持 )、Windows 系列 (需要 
winpcap 库 支持 ) ,与 许多 商业 性 产品 相 比 , 它 对 操作 系统 的 依赖 性 较 低 。Snort 集成 了 多 种 
报警 机 制 以 支持 实时 报警 功能 。 目 前 ,Snort 共有 30 多 类 近 2000 条 检测 规则 ,其 中 包括 组 
冲 区 溢出 、 端 口 扫 描 和 CGI 攻击 等 。 


1. Snort 的 安装 


可 以 从 网 站 http://www. snort. org/ 或 其 他 很 多 网 站 上 下 载 Snort 软件 。 如 果 用 户 安 
装 了 libpcap, 对 Snort 的 安装 非常 简单 。 关 于 libpcap 的 安装 说 明 , 用 户 可 阅读 blackfire 的 
一 些 文章 。 关 于 Windows 下 的 winpcap, 用 户 可 以 查看 Sniffer For NT 上 的 安装 说 明 。 

安装 好 Snort 后 ,用 户 可 以 使 用 make clean 清除 一 些 安装 时 产生 的 临时 文件 ,而 在 
Windows 下 更 简单 ,只 要 解 包 出 来 就 可 以 了 。 


2. Snort 命令 介绍 
命令 行 : 
snort - [options] < filters> 


选项 [optionsj] 包 括 以 下 内 容 : 

。 -A 一 alert 二 : 设置 二 alert 二 模式 是 full fast 或 none。full 模式 记录 标准 的 alert 模 
式 到 alert 文件 中 ; fast 模式 只 写 人 时 间 戳 ,messages\IPs、ports 到 文件 中 ,none 模 
式 关闭 报警 。 

-a: 显示 ARP 包 。 

-b: 把 log 的 信息 包 记 录 为 tcpdump 格式 ,所 有 信息 包 都 被 记录 为 二 进 制 形 式 。 
Snort 在 100Mb/s 网 络 中 使 用 -b 比较 好 。 

-c 到 cf : 使 用 配置 文件 一 cf ,这 个 文件 告诉 系统 什么 样 的 信息 要 log ,或 者 报警 ， 
或 者 通过 。 

-C: 信息 包 数 据 使 用 ASCII 码 来 显示 ,而 不 是 hexdump。 

-d: 解码 应 用 层 。 
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-D: 把 Snort 以 守护 进程 的 方法 来 运行 ,默认 情况 下 alert 记录 发 送 到 /var/log/ 
snort. alert 文件 中 。 

-e: 显示 并 记录 ethernet 信息 包头 的 数据 。 

-二 bp 人 f 僵 : 从 过 bpf 全 文件 中 读 BPF 过 滤器 (filters) 。 这 里 的 filters 是 标准 的 BPF 
格式 过 滤器 ,用 户 可 以 在 tcpdump 里 看 到 ,可 以 查看 tcpdump 主页 了 解 过 滤器 的 
使 用 。 

-h 二 hn>: 设置 网 络 地 址 。 

- 工 <<if> : 使 用 网 络 接口 参数 <if> 。 

-二 1d>>: log 信息 包 记 录 到 过 ld 之 目录 中 。 

-n 二 num 记 : 指定 在 处 理 二 num> 个 数据 包 后 退出 。 

-N: 关闭 log 记录 ,但 alert 功能 仍 正 常 。 

-o: 改变 所 采用 的 记录 文件 。 如 正常 情况 下 采用 alert>~pass-~log 顺序 ,而 采用 此 选 
项 后 的 顺序 为 pass 习 alert 习 log。pass 是 那些 允许 通过 的 规则 而 不 记录 和 报警 ， 
alert 是 不 允许 通过 的 规则 ,log 指 log 记录 。 

-p: 关闭 混杂 模式 嗅 探 方式 ,一般 用 于 安全 的 调试 网 络 。 

- 工 近 tf>: 读 取 由 tcpdump 方式 产生 的 文件 过 tf 全 。 这 个 方法 可 用 来 处 理 类 似 
Shadow 的 文件 ,因为 这 样 的 文件 不 能 用 一 般 的 edit 来 编辑 查看 。 

-s: log 报警 记录 到 syslog 中 。 在 Linux 平台 上 ,这 些 警告 信息 会 出 现在 /var/log/ 
secure 中 ,在 其 他 平台 上 出 现在 /var/log/message 中 。 

-S <n=v 二 : 设置 变量 值 。 可 以 在 命令 行 定 义 Snort rules 文件 中 的 变量 ,如 用 户 
要 在 Snort rules 文件 中 定义 变量 HOME_NET, 用 户 可 以 在 命令 行 中 给 它 预 定 
义 值 。 

-v: 使 用 verbose 模式 ,把 信息 包 打 印 在 console 中 。 使 用 这 个 选项 会 使 速度 变 慢 
在 记录 多 的 时 候 会 出 现 丢 包 现象 。 

-V: 显示 snort 版 本 并 退出 。 


Snort 的 应 用 


Snort 有 3 种 工作 模式 : 嗅 探 器 ,数据 包 记 录 器 和 NIDS 系统 。 嗅 探 器 模式 仅仅 是 从 网 
络 上 读 取 数据 包 并 作为 连续 不 断 的 数据 流 显 示 在 终端 上 ; 数据 包 记录 器 模式 把 数据 包 记录 
到 硬盘 上 ; NIDS 模式 是 最 复杂 的 ,而 且 是 可 配置 的 。 

(1) 嗅 探 器 模式 

嗅 探 器 模式 就 是 Snort 从 网 络 上 读 出 数据 包 然后 显示 在 客户 机 。 用 户 要 想 把 TCP/IP 
信息 包头 显示 在 屏幕 上 ,可 以 使 用 命令 : 


.Vsnort —v 


如 果 要 想 看 到 应 用 层 的 数据 (解码 应 用 层 ) ,可 以 使 用 : 


.Vsnort 一 vd 


这 条 命令 使 Snort 在 输出 包头 信息 的 同时 显示 包 的 数据 信息 。 如 果 要 查看 到 更 详细 的 
关于 ethernet 头 的 信息 ,可 使 用 下 面 的 命令 : 


232 


NM 


网 络 安全 技术 与 应 用 实践 


.Vsnort - vde 
这 些 选项 还 可 分 开 写 或 任意 结合 在 一 块 。 例 如 下 面 的 命令 与 上 面 的 命令 等 价 : 
.Vsnort ~-d-v-e 


(2) 数据 包 记录 器 模式 

在 嗅 探 器 模式 下 ,用 户 只 在 屏幕 上 可 看 到 上 述 命 令 。 如 果 要 把 所 有 的 数据 包 记 录 到 硬 
盘 上 ,需要 指定 一 个 日 志 目 录 ,Snort 就 会 自动 记录 数据 包 。 用 户 可 以 先 建立 一 个 log 目录 ， 
再 使 用 下 面 的 命令 : 

.Vsnort -dev -1 ./log -hl192.168.1.0/24 


该 命令 把 ethernet 头 信息 和 应 用 层 数 据 记 录 到 . /log 目录 中 ,记录 内 容 是 关于 C 类 网 
络 192.168. 1.0 的 信息 。 如 果 用 户 想 利用 一 些 规则 文件 (记录 特定 数据 的 规则 文件 ) , 则 使 
用 命令 : 

./snort - dev -1./log -h192.168.1.0/24 -c snort -1ib 


此 处 snort-lib 是 用 户 规则 文件 的 文件 名 ,按照 snort-lib 文件 中 设置 的 规则 决定 是 否 记 
录 某 个 信息 包 。 而 命令 行 “. /snort -d -h 192. 168. 1. 0/24 -1 . /log -c snort-lib” 可 以 不 记录 
ethernet 头 信息 。 

命令 行 “. /snort -d -h 192. 168. 1. 0/24 -1 . /log -c snort-lib -s” 可 把 日 志 记 录 在 用 户 规 
则 文件 所 定义 的 log 文件 中 ,而 不 是 默认 的 alert. ids 中 。 

命令 行 “. /snort -d -h 192. 168. 1. 0/24 -1 . /log -c snort-lib -o” 是 读 规则 文件 的 顺序 。 
如 果 需 要 先 读 允 许 的 规则 文件 ,再 读 alert 规则 文件 ,然后 来 log 记录 , 那 就 按照 上 面 的 命令 
操作 。 

如 果 用 户 的 网 络 请 求 相当 多 ,用 户 可 以 使 用 命令 行 : 


/snort -b -Afast -c snort—1ib 
用 户 可 以 使 用 如 下 命令 查看 log: 
./snort -d -c snort—1ib -1./log —-h192.168.1.0/24 —r snort.1og 


如 果 用 户 的 网 络 速度 很 快 ,或 者 想 使 日 志 更 加 紧凑 以 便 以 后 的 分 析 , 则 应 使 用 二 进 制 的 
日 志文 件 格式 。 二 进 制 日 志文 件 格式 就 是 trtpdump 程序 使 用 的 格式 。 使 用 下 面 的 命令 可 
把 所 有 的 包 记录 到 一 个 二 进 制 文件 中 : 


.Vsnort -1 ./1og -b 


(3) NIDS 模式 
Snort 最 重要 的 用 途 是 作为 NIDS, 使 用 下 面 命令 行 可 启动 该 模式 : 
./snort —dev -1 ./log -hl192.168.1.0/24 - c snort. conf 


snort. conf 是 规则 集 文件 。Snort 会 对 每 个 包 和 规则 集 进 行 匹配 ,发现 这 样 的 包 就 采取 
相应 的 行动 。 如 果 不 指定 输出 目录 ,Snort 就 输出 到 /var/log/snort 目录 。 


第 6 章 ”网 络 攻防 技术 与 应 用 实践 


如 果 想 长 期 使 用 Snort 作为 自己 的 NIDS, 最 好 不 要 使 用 -v 选项 。 因 为 使 用 该 选项 会 使 
Snort 向 屏幕 上 输出 一 些 信息 ,将 大 大 降低 Snort 的 处 理 速度 ,从 而 在 向 显示 器 输出 的 过 程 
中 丢弃 一 些 包 。 此 外 ,在 绝 大 多 数 情况 下 ,也 没有 必要 记录 ethernet 包头 信息 ,所 以 -e 选项 
也 可 以 不 用 。 

命令 行 “. /snort -d -h 192. 168. 1. 0/24 -1 . /log -c snort. conf” 是 使 用 snort 作为 NIDS 
最 基本 的 形式 ,将 符合 规则 的 日 志 包 以 ASCII 形式 保存 在 有 层次 的 目录 结构 中 。 

在 NIDS 模式 下 ,有 很 多 方式 来 配置 Snort 的 输出 。 在 默认 情况 下 ,Snort 以 ASCII 格 
式 记录 上 日志, 使 用 full 报警 机 制 。 如 果 使 用 full 报警 机 制 ,Snort 会 在 包头 之 后 打印 报警 消 
息 。 如 果 不 需要 日 志 包 ,可 以 使 用 -N 选项 。 

Snort 有 6 种 报警 机 制 : full、fast、unsock、none、syslog 和 smb(Cwinpopup) ,其 中 前 4 种 
可 以 在 命令 行 状态 下 使 用 -A 选项 设置 。 

。 -A fast: 报警 信息 ,包括 一 个 时 间 截 (timestamp)、 报 警 消息 、 源 /目的 IP 地 址 和 
端口 。 

-A full: 默认 报警 模式 。 

-A unsock: 把 报警 发 送 到 一 个 UNIX 套 接 字 ,需要 有 一 个 程序 进行 监听 ,这 样 可 以 
实现 实时 报警 。 

-A none: 关闭 报警 机 制 。 

使 用 -s 选项 可 以 使 Snort 把 报警 消息 发 送 到 syslog ,默认 的 设备 是 LOG_AUTHPRIV 
和 LOG_ALERT。 可 以 修改 snort. conf 文件 改变 其 配置 。 

Snort 还 可 以 使 用 SMB 报警 机 制 ,通过 SAMBA 把 报警 消息 发 送 到 Windows 主机 。 
为 了 使 用 这 个 报警 机 制 ,在 运行 . /configure 脚本 时 ,必须 使 用 enable-smbalerts 选项 。 

下 面 是 一 些 输出 配置 的 实例 : 

使 用 默认 的 日 志方 式 并 把 报警 发 给 syslog: 


.Vsnort —c snort.conf -1 ./l1og -s -hl192.168.1.0/24 
使 用 二 进 制 日 志 格 式 和 SMB 报警 机 制 : 
.Vsnort —c snort.conf —b -MWORKSTATIONS 


使 用 -r 功能 开关 ,也 能 使 Snort 读 出 包 的 数据 。Snort 在 所 有 运行 模式 下 都 能 够 处 理 
tcpdump 格式 的 文件 。 如 果 想 在 嗅 探 器 模式 下 把 一 个 tcpdump 格式 的 二 进 制 文件 包 打 印 
到 屏幕 上 ,可 以 输入 以 下 命令 行 : 


./snort — dv —r packet. log 


在 日 志 包 和 入 侵 检测 模式 下 ,通过 BPF(BSD packet filter) 接 口 , 可 使 用 许多 方式 维护 
日 志文 件 中 的 数据 。 例 如 ,车 只 想 从 日 志文 件 中 提取 ICMP 包 , 只 需要 输入 如 下 命令 
即 可 : 


.Vsnort — dvr packet. log icmp 
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6.5 网 络 扫描 与 网 络 监听 


6.5.1 网 络 扫描 


影响 网 络 系统 安全 的 因素 很 多 ,但 不 外 乎 来 自 系统 内 部 的 漏洞 (缺陷 或 脆弱 性 ) 和 来 自 
网 络 系统 外 部 的 威胁 。 

网 络 扫描 是 保证 网 络 系统 安全 必 不 可 少 的 手段 , 它 不 仅 可 以 实现 复杂 繁琐 的 信息 系统 
安全 管理 ,而 且 可 从 目标 信息 系统 和 网 络 资源 中 采集 信息 ,帮助 用 户 及 时 找 出 网 络 中 存在 的 
漏洞 ,分析 来 自 网 络 外 部 和 内 部 的 人 侵 信 号 和 网 络 系统 中 的 漏洞 ,有 时 还 能 实时 地 对 攻击 做 
出 反应 。 


1. 网 络 系统 漏洞 


在 计算 机 网 络 安全 领域 ,网 络 系统 漏洞 是 指 网 络 系统 硬件 、 软 件 或 策略 上 存在 的 缺陷 或 
脆弱 性 。 计 算 机 网 络 本 身 存 在 着 一 些 漏洞 , 非 授权 用 户 利 用 这 些 漏 洞 可 对 网 络 系统 进行 非 
法 访问 。 这 种 非法 访问 可 能 使 系统 内 数据 的 完整 性 受到 威胁 ,也 可 能 使 信息 遭 到 破坏 而 不 
能 继续 使 用 ,更 为 严重 的 是 有 价值 的 信息 被 窃取 而 不 留任 何 痕迹 。 

计算 机 网 络 系统 的 硬件 和 软件 缺陷 可 影响 系统 的 正常 运行 ,严重 时 系统 会 停止 工作 。 

网 络 系统 硬件 的 缺陷 主要 有 硬件 故障 、 网 络 线路 威胁 、 电 磁 辐 射 和 存储 介质 脆弱 等 
方面 。 

网 络 系统 的 软件 漏洞 是 指 在 计算 机 程序 .系统 或 协议 中 存在 的 安全 漏洞 , 它 已 成 为 被 攻 
击 者 用 来 非法 侵入 他 人 系统 的 主要 渠道 。 软 件 方面 的 漏洞 可 分 为 应 用 软件 漏洞 .操作 系统 
漏洞 .数据库 系统 漏洞 .通信 协议 漏洞 和 网 络 软件 及 网 络 服务 漏洞 。 

一 般 来 说 ,软件 漏洞 一 旦 被 检测 出 来 ,相关 的 软件 厂商 都 会 在 最 短 时 间 内 发 布 相应 的 补 
丁 程 序 。 但 是 问题 在 于 当 黑 客 发 现 漏 洞 存在 后 ,就 会 尽快 设计 出 一 种 可 利用 这 些 漏洞 的 新 
型 恶意 代码 对 系统 进行 攻击 。 针 对 各 种 软件 漏洞 ,最 好 的 应 对 策略 就 是 下 载 相应 的 补丁 
程序 。 

2. 网 络 扫描 


网 络 扫描 通常 采用 两 种 策略 : 一 种 是 被 动 式 策略 ; 另 一 种 是 主动 式 策略 。 被 动 式 策略 
是 基于 主机 的 ,对 系统 中 不 合适 的 设置 .脆弱 的 口令 以 及 其 他 与 安全 规则 抵触 的 对 象 进行 检 
查 ; 主动 式 策略 是 基于 网 络 的 ,通过 执行 一 些 脚 本 文件 模拟 对 系统 进行 攻击 的 行为 并 记录 
系统 的 反应 ,从 而 发 现 其 中 的 漏洞 。 

(1) 扫描 器 

对 付 破 坏 系统 企图 的 实用 方法 ,就 是 建立 比较 容易 实现 的 安全 系统 ,同时 按照 一 定 的 安 
全 策略 建立 相应 的 安全 辅助 系统 。 网 络 扫描 程序 (扫描 器 ) 就 是 这 样 一 类 实用 的 安全 系统 。 

在 Internet 安全 领域 ,扫描 器 是 最 出 名 的 破解 工具 。 扫 描 器 实际 上 是 一 种 自动 检测 远 
程 或 本 地 主机 安全 性 弱点 的 程序 。 通 过 与 目标 主机 TCP/IP 端口 建立 连接 ,并 请 求 某 些 服 
务 ( 如 Telnet\FTP) ,记录 目标 主机 的 应 答 ,搜集 目标 主机 相关 的 信息 ,以 此 获得 关于 目标 机 
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的 信息 ,理解 和 分 析 这 些 信 息 , 就 可 能 发 现 破坏 目标 主机 安全 性 的 关键 问题 。 扫 描 器 的 重要 
性 在 于 把 极为 复杂 的 安全 检测 ,通过 程序 来 自动 完成 ,这 不 仅 减 轻 了 管理 者 的 工作 ,而 且 缩 
短 了 检测 时 间 。 一 个 好 的 扫描 器 能 对 它 得 到 的 数据 进行 分 析 , 帮 助 查找 目标 主机 的 漏洞 。 
但 它 不 会 提供 进入 一 个 系统 的 详细 步骤 。 

扫描 器 的 主要 功能 是 测试 系统 上 有 没有 安全 漏洞 ,进而 从 扫描 出 来 的 安全 漏洞 报告 里 
告诉 使 用 者 ,系统 安全 漏洞 有 多 少 , 如 何 去 修 补 , 到 哪里 下 载 Patches( 补 丁 程序 ) 等 。 

根据 工作 模式 的 不 同 , 扫 描 器 一 般 可 分 成 网 络 型 扫描 器 和 主机 型 扫描 器 两 大 类 ,其 中 前 
者 基于 网 络 ,通过 请 求 /应 答 方式 远程 检测 目标 网 络 和 主机 系统 的 安全 漏洞 ; 后 者 基于 主 
机 ,通过 在 主机 系统 本 地 运行 代理 程序 来 检测 系统 漏洞 ,如 操作 系统 漏洞 扫描 器 和 数据 库 系 


统 漏洞 扫描 器 。 

主机 型 扫描 器 具有 重要 资料 的 锁定 、 密 码 检测 、 系 统 日 志文 件 和 文字 文件 分 析 、 加 密 和 
分 析 报 表 等 功能 。 

(2) 端口 扫描 


网 络 上 计算 机 之 间 的 通信 都 是 通过 端口 进行 的 ,不 同 的 通信 内 容 被 分 派 在 不 同 的 端口 
上 。 端 口 扫描 的 目的 是 探测 主机 开放 了 哪些 端口 。 实 现 的 方法 是 对 目标 主机 的 每 个 端口 发 
送信 息 , 用 扫描 器 针对 目标 主机 查询 ,最 终 就 会 查 出 哪些 主机 开放 了 哪些 端口 。 某 些 特 定 的 
端口 是 一 些 服务 或 程序 默认 的 。 一 些 安全 服务 器 可 能 会 更 改 默 认 端口 ,这 样 就 比较 安全 了 ， 
因为 改变 端口 就 可 以 起 到 迷惑 攻击 者 的 目的 。 

一 个 端口 就 是 一 个 潜在 的 入 侵 通 道 。 对 目标 计算 机 进行 端口 扫描 ,能 得 到 许多 有 用 的 
信息 ,从 而 发 现 系统 的 安全 漏洞 。 支 持 TCP/IP 协议 的 主机 和 设备 ,都 是 以 开放 端口 来 提供 
服务 的 。 端 口 是 系统 对 外 的 窗口 ,漏洞 也 往往 通过 端口 暴露 出 来 。 因 此 ,网 络 扫描 器 为 了 提 
高 扫描 效率 ,首先 需要 判断 系统 的 哪些 端口 是 开放 的 ,然后 对 开放 的 端口 执行 某 些 扫描 脚 
本 ,以 进一步 寻找 安全 漏洞 。 

常见 的 TCP 端口 有 21H (FTP)、23H (Telnet)、25H (SMTP)、70H (Gopher)、79H 
(Finger) .80OH(HTTP) ,110H (POP3)、119H(News Server)、139H(NetBIOS) 等 ; 常见 的 
UDP 端口 有 53H (DNS)、69H (TFTP)、 88H (Kerberos)、110H (POP3)、119H (News 
Server) ,139H(NetBIOS) 等 。 


6.5.2 网 络 监 听 


网 络 监 听 是 管理 员 为 了 进行 网 络 安全 管理 ,利用 相应 的 工具 软件 监视 网 络 的 状态 和 数 
据 流动 情况 ,以 便 及 时 发 现 网 络 中 的 异常 情况 和 不 安全 因素 。 网 络 管理 员 使 用 网 络 监听 工 
具 软 件 可 以 监视 网 络 的 状态 .数据 流动 以 及 网 络 上 传输 的 信息 。 


1. 网 络 监听 的 概念 


网 络 监听 可 以 在 网 上 的 任何 一 个 位 置 实施 ,如 局 域 网 中 的 一 台 主 机 、 网 关上 或 远程 网 络 
的 Modem 之 间 等 。 但 监听 效果 最 好 的 地 方 是 在 网 关 、 路 由 器 、 防 火 墙 一 类 的 设备 处 ,使 用 
最 方便 的 是 在 一 个 以 太 网 中 的 任何 一 台 上 网 的 主机 上 进行 监听 。 对 于 一 台 连 网 的 计算 机 ， 
最 方便 的 是 在 以 太 网 中 进行 监听 。 只 需 安装 一 个 监听 软件 ,然后 就 可 以 坐 在 机 器 劳 浏 览 监 
听 到 的 信息 了 。 
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在 一 般 的 网 络 环境 下 用 户 的 信息 (包括 口令 ) 都 是 以 明文 方式 传输 的 ,通过 网 络 监听 而 
获得 用 户 信息 并 不 是 一 件 很 难 的 事情 ,只 要 掌握 初步 的 TCP/IP 协议 知识 就 可 以 轻松 地 做 
到 了 。 网 络 监听 也 是 一 把 * 双 刃 剑 ”, 既 可 以 为 网 络 管理 员 所 用 监视 网 络 的 状态 和 数据 流动 
情况 ,也 可 被 黑客 利用 起 破坏 作用 。 因 此 网 络 监听 也 是 黑客 们 常用 的 手段 之 一 。 当 信息 以 
明文 形式 在 网 络 上 传输 时 ,黑客 便 可 以 将 网 络 接口 设置 为 监听 模式 ,使 用 网 络 监听 手段 截获 
网 上 数据 , 便 可 以 源源 不 断 地 将 网 上 传输 的 信息 截获 。 当 黑客 成 功 地 登录 一 台 网 络 主机 并 
取得 该 主机 的 超级 用 户 权 限 后 ,往往 要 扩大 战果 ,尝试 登录 或 夺取 对 网 络 中 其 他 主机 的 控 
制 权 。 

对 于 网 络 攻击 者 来 说 ,攻破 网 关 、 路 由 器 或 防火 墙 的 难度 很 大 。 因 为 在 这 些 地 方 可 以 由 
安全 管理 员 安装 一 些 设备 ,对 网 络 进行 监控 ,或 使 用 一 些 专门 的 设备 ,运行 专门 的 监听 软件 。 
但 攻击 者 潜入 一 台 不 引 人 注 意 的 计算 机 中 ,悄悄 地 运行 一 个 监听 程序 是 很 容易 的 。 监 听 非 
常 消耗 CPU 资源 ,在 一 个 担负 繁忙 任务 的 计算 机 中 进行 监听 ,可 能 会 立即 被 管理 员 发 现 ， 
因为 计算 机 的 响应 速度 会 变 得 很 慢 。 


2. 网 络 监听 的 检测 


网 络 监听 的 前 提 条 件 是 在 同一 网 段 的 主机 上 进行 。 这 里 同一 网 段 是 指 物理 上 的 连接 。 
因为 不 同 网 段 的 数据 包 在 网 关 就 会 被 滤 掉 ,不 能 传输 到 另外 的 网 段 ,否则 一 个 Internet 上 的 
一 台 主 机 便 可 以 监视 整个 Internet 了 。 

网 络 监 听 是 很 难 被 发 现 的 。 运 行 网 络 监听 程序 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 
的 信息 ,并 没有 主动 的 行动 。 既 不 会 与 其 他 主机 交换 信息 ,也 不 能 修改 在 网 上 传输 的 信息 
包 。 这 些 都 决定 了 对 网 络 监听 的 检测 是 非常 困难 的 。 

一 个 理论 上 可 行 的 检测 监听 的 办 法 是 搜索 所 有 主机 上 和 运行 的 进程 。 但 这 几乎 是 不 可 能 
的 ,因为 很 难 同 时 检查 所 有 主机 上 的 进程 。 但 至 少 管理 员 可 以 确定 是 否 有 一 个 进程 被 从 管 
理 员 机 器 上 启动 。 

一 般 来 讲 , 人 们 真正 关心 的 是 那些 秘密 数据 (如 用 户 名 和 口令 ) 的 安全 传输 。 如 果 这 些 
信息 以 明文 形式 传输 ,就 很 容易 被 截获 而 且 被 阅读 ,因此 对 信息 进行 加 密 是 一 个 很 好 的 办 
法 。 如 果 利 用 安全 外 壳 SSH(secure shell) 协 议 进 行 加 密 是 很 容易 实现 的 ,而 且 效 率 很 高 。 
SSH 是 一 种 在 像 Telnet 那样 的 应 用 环境 中 提供 保密 通信 的 协议 , 它 可 实现 密 钥 交换 、 主 机 
认证 和 客户 端 认证 ,可 完全 排除 在 不 安全 的 信道 上 通信 被 监听 的 可 能 性 。 它 像 许多 协议 一 
样 , 是 建立 在 客户 /服务 器 模型 之 上 的 。 


3. 网 络 监听 的 防范 


(1) 从 逻辑 或 物理 上 对 网 络 分 段 

网 络 分 段 通常 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 ,其 实 也 是 保证 网 络 安全 的 
一 项 措施 。 其 目的 是 将 非法 用 户 与 敏感 的 网 络 资源 相互 隔离 ,从 而 防止 可 能 的 非法 监听 。 

(2) 使 用 交换 式 集线器 

对 局 域 网 的 中 心 交 换 机 进行 网 络 分 段 后 ,局 域 网 监听 的 危险 仍然 存在 。 这 是 因为 网 络 
最 终 用 户 的 接 人 往往 是 通过 分 支 集线器 而 不 是 中 心 交 换 机 。 分 支 集线器 通常 是 共享 式 的 ， 
当 用 户 与 主机 进行 数据 通信 时 ,两 台 计 算 机 之 间 的 数据 包 可 能 被 同一 台 集 线 器 上 的 其 他 用 
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户 所 监听 。 因 此 ,要 以 交换 式 集线器 代替 共享 式 集线器 ,使 数据 包 仅 在 两 个 节点 间 传 送 ,从 
而 可 防止 非法 监听 。 

(3) 使 用 加 密 技术 

数据 经 过 加 密 后 ,虽然 通过 监听 仍然 可 以 得 到 传送 的 信息 ,但 这 些 信息 是 无 法 理解 的 密 
文 。 加 密会 影响 数据 传输 速度 ,系统 管理 员 和 用 户 需 要 根据 网 络 速度 和 安全 性 要 求 进行 

(4) 划分 VLAN 

运用 VLAN( 虚 拟 局 域 网 ) 技 术 , 将 以 太 网 的 广播 式 通信 变 为 点 到 点 通信 ,这 样 可 以 防 
止 大 部 分 基于 网 络 监听 的 人 侵 。 


6.5.3 网 络 扫描 应 用 实例 一 二 X-Scan 扫描 软件 的 应 用 


X-Scan v3. 3 是 一 款 完全 免费 且 非 常 优秀 的 综合 扫描 器 软件 ,主要 由 国内 著名 的 民间 
黑客 组 织 “ 安 全 焦点 ”(http://www. xfocus. net) 开 发 。 该 软件 采用 多 线程 方式 对 指定 IP 
地 址 段 或 单机 进行 安全 漏洞 检测 ,支持 插件 功能 。 它 提供 了 图 形 界面 和 命令 行 两 种 操作 方 
式 , 其 系统 要 求 是 Windows NT/2000/XP/2003。 可 以 利用 该 软件 对 系统 存在 的 一 些 漏洞 
进行 扫描 。 扫 描 内 容 包 括 远程 服务 类 型 .操作 系统 类 型 及 版 本 ,各 种 弱 口令 漏洞 .后 门 、 应 用 
服务 漏洞 .网 络 设备 漏洞 .拒绝 服务 漏洞 等 多 个 大 类 。 对 于 多 数 已 知 漏洞 ,通过 扫描 可 给 出 
相应 的 漏洞 描述 、 解 决 方案 及 详细 描述 链接 。 

X-Scan v3. 3 的 主 界面 如 图 6. 28 所 示 ,其 应 用 过 程 如 下 。 

文件 归 设置 中) 查看 G) 工具 GD) Laneaags 帮助 必 ) 


G@lPpnme| 图 | 国 当 
普通 信息 | 漏洞 信息 | 说 误 信息 | 


-Sean-v3.3 使 用 说 明 


一 ， 系 统 要 求 : Windows NT/2000/XP/2003 
理论 上 可 运行 于 Windows IT 系列 拘 作 系统 ， 推 荐 运行 于 Wi ndovs 2000 愉 上 的 Server 版 Windovs 系 统 。 


二 ， 功 能 简介 : 
i a a oa 


一 “可 就 和 


图 6. 28 X-Scan v3. 3 软件 主 界面 


1. 设置 扫描 范围 和 扫描 模块 


选择 图 6. 28 中 菜单 栏 “ 设 置 * 下 的 “扫描 参数 ?项 ,在 扫描 参数 中 设置 检测 范围 。 本 例 
设 定 的 “扫描 范围 ”为 202. 120. 30. 1 一 202. 120. 30. 161 ,如 图 6. 29 所 示 。 
扫描 模块 的 设置 如 图 6. 30 所 示 。 设 置 完毕 后 , 即 可 进行 漏洞 扫描 。 
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指定 II 范围 : 
Roz. 120. 30.1-202 120.30 161 示例 


| 


厂 从 文件 获取 主机 列表 


宇 生 文件 设置 


_ 驮 | 肪 | Cw ] we | 


看 件 版 本 :2.0 
芹 件 作者 ”上 scier 


件 设置 
端口 相关 设置 
SHIP 相 关 设 置 
王 TBI0S 相 关 设置 
漏洞 检测 脚本 设置 
C6I 相 关 设 置 
字 奥 文件 设置 


图 6.30 扫描 模块 设置 


2. 进行 漏洞 扫描 


打开 图 6. 28 中 的 “文件 "菜单 ,选择 “开始 扫描 ”选项 ,系统 即 开始 扫描 。 图 6. 31 所 示 为 
扫描 检测 过 程 ,从 中 可 见 本 次 扫描 检测 出 两 个 存活 主机 202. 120. 30. 160 和 202. 120. 30. 5。 


-Scan v3.3 GUI 
文件 ) 设置 如 查看 GD) 工具 QD Language 帮助 多 ) 
J PWm | 国 国 当 回 
日 贸 202.120.30.180 Qindors EET] EE ET 
20 正在 执行 漏洞 检测 肚 本 “desjnow.| 


田 咏 ) 开放 服务 
由 JatBios 信 息 a 5 正在 检测 "PTF 弱 口 令 : root/roo1| 


沁 


秋天 信息 | 漏洞 全息 | 情 误 信息 | 


[Scan v3 3 - 辣 二 安全 扁 油 本 可 < 
安全 焦点 : http: /mr xfocus. net (中 文 站 )，http://wmr. xfocus. ore 英文 站 ) 下 


入 插件 元 毕 | 
二 全 二 
| 工 入 脚本 元 成 
正在 分 段 检测 存活 主机 
[2 120. 30. 180] 人 ei 
沿 C 计 个 存活 主 碟 ;用 时 15. 516 钞 ) 


T Active/Naximm host thread: 2/10, Current/Waxinun thread; 25/100, EF 


图 6.31 扫描 检测 过 程 
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图 6. 32 为 扫描 检测 报告 ,报告 显示 本 次 扫描 用 时 近 13 分 钟 。 检 测 结果 是 两 个 存活 主 
机 均 发 现 安全 提示 。 图 6. 33 和 图 6. 34 分 别 为 202. 120. 30.5 和 202. 120. 30. 160 的 主机 分 
析 ( 部 分 ) 报 告 。 图 6. 35 为 扫描 报告 的 男 一 种 显示 。 
到 XScan Report 一 Wicrosoft Internet Explorer 
文件 下 ) ”编辑 时) 查看 咯 ”收藏 由 工具 QD) 才 助 和 D 


旬 于 -日 -上 国有 Pee 垃 ex 如 | 全 -学 回 - 书 大 级 国 @ 


多 0:Vr-scan-v6 3\log\ report. HINL 专 输入 江 旬 


检测 结果 
202,120,305 


主机 摘要 - 05 Unknown 05; PORT/TCP; 21, 80, 110, 443, 995, 3125, 5030 
202.120.30.160 [ES 
rT 


图 6.32 扫描 检测 报告 (1) 


到 XScan Report — Wicrosoft Internet Explorer 


文件 编辑 外、 查看 QD 收 遂 工具 中 帮助 0 
@ 红 - 昌 - 目 国 纹 Pe 次 ex 加 | 全 -学 国 - 口 乱 级“ 


地 址 四 [加 mvrsearva auegurepert mL 转 到 链接 


端口 /服务 

TP prory 129hen) > 
http (80jtcp) 

Ihttps (443/tcp) 

IHTTP proxy server 
(8080hcp) 
pop3tlloftcp) 

IPOP3-ssl (995jtcp) 发 现 安全 提示 
ftp (21/tep) 发 现 安全 提示 


端口 /服务 “安全 漏洞 及 解决 方案 
开放 服务 


"HTTP proxy" 服 务 可 能 运行 于 该 端口 . 


NE55US_ID ; 10330 


提示 |http (80jtcp) | 开放 服务 | 


图 6.33 扫描 检测 报告 (2) 
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A 


于 -Scan Report — Nicrosoft Internet Explorer 


文件 EE) 编辑 EE) 查看 WD 收 语 和 ) 工具 中 才 助 了 0 


a 喜 » 
到 -昌国 国 纹 有 并 交 mx 辐 全 -学 国 -是 名 
地 址 四) | 入 D:\X-Sean-v3.3\loa\202_120_30_160-202_120_30_161_report. htal 站 固 Wl 


Tr 


202.120.30.1preihios son (139]CPjN 发现 安全 提示 
|202.120.30,168bttp (aojtcp) 发 现 安全 提示 


"netbios-ssn "服务 可 能 运行 于 该 端口 


BANNER 信 息 


83 
INES5US_ID ; 10330 


预示 开放 服务 


jhttp" 服 务 可 能 运行 于 该 端口. 


EE 
图 6.34 扫描 检测 报告 (3) 


仿 扫描 报告 园 回 加 
原始 日 志文 件 各 
202. 120. 30. 1-202. 120. 30. 161 2009-12-13 15:53 2, 035 ”20091213_1553_repert,rl1g 


le02. 120.30.1-202 120.30.181 2009-12-13 15:44 45, 959 20091213-1544—report. rle 
hocalhost 2009-12-13 15:37 201 20091213_1536_ localhost_repo 


© 
日 志文 件 各 : 
Poo81213_1553 report rle 


报 甫 文件 名 : 
[reper mr 


图 6.35 扫描 检测 报告 (4) 
3. 查询 主机 的 域名 和 地 址 


打开 图 6. 28 中 的 “工具 ”菜单 ,选择 “物理 地 址 查询 ”选项 ,弹出 如 图 6. 36 所 示 的 窗口 。 
在 该 窗口 中 ,可 查询 到 已 知 域名 的 IP 地 址 ,如 图 6. 36 和 图 6. 37 所 示 , 也 可 查询 到 已 知 IP 
地 址 所 对 应 的 域名 ,如 图 6. 38 和 图 6. 39 所 示 。 


物理 地 址 查询 | ARP query | Whois | Trace route | Ping | 


了 地址 /主机 各 
EEC 太 查询 主机 名 
诗 机 名 :wew. tsinghua edu cn 

IP 地 址 : 166. 111.4.100 

卫生 寺 ， 洪 学 计 各 全 管 理 中 心中 央 主 入) 


图 6.36 查询 已 知 域名 的 IP 地 址 (1) 
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物理 地 直 查 鹿 | ApP query | Whois | Trace route | Pine | 


了 地址 /主机 名 : 


ee 
Se E| 
所 在 地 : 同 将 大 学 ‖ 


图 6. 37 查询 已 知 域名 的 IP 地 址 (2) 


物理 地 址 查询 | ARP query | Whois | Trace route| Pine | 


了 地 址 /主机 名: 
66. 111. 4. 100| 你 查询 主机 名 
地址; 166. 111.4. 100 


rw tsinghus edu_ cn 
清华 大 学 计算 机 与 俏 息 管理 中 心 (中 央 主楼 ) 


图 6.38 查询 已 知 IP 地 址 的 域名 (1) 


物理 地 址 查询 | ARP query | whois | Trace route| Ping | 


?地址 /主机 名 : 
型 202. 120. 189.3 S| 


下 We, tongji. edu cn 
在 地 : 同济 大 


图 6.39 查询 已 知 IP 地 址 的 域名 (2) 


4. 查询 跟踪 路 由 (trace route) 


打开 图 6. 28 中 的 “工具 ”菜单 ,选择 Trace route, 利 用 X-Scan v3. 3 可 查询 本 机 到 指定 
主机 的 路 由 状况 ,如 图 6. 40 所 示 。 本 例 为 查询 本 机 至 清华 大 学 主机 的 路 径 (Tracing route 
to www. tsinghua. edu. cn [166. 111. 4. 100]) 。 

由 图 6. 40 可 知 , 两 主机 的 路 由 过 程 中 的 部 分 IP 地 址 的 相应 主机 为 202. 120. 201. 205 
和 202. 120. 201. 198, 都 是 上 海 教育 和 科研 计算 机 网 的 主机 ,202. 112. 36. 253 和 
202. 112. 46. 57 都 是 北京 市 教育 网 信息 中 心 的 主机 ,59. 66. 2.1 和 59. 66. 2.18 分 别 是 清华 
大 学 的 th002001. ip. tsinghua. edu. cn 和 th002018. ip. tsinghua. edu. cn 主机 ,166. 111. 4. 100 为 
清华 大 学 计算 机 与 信息 管理 中 心 的 www. tsinghua. edu. cn 主机 。 
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WA 


物理 地 址 查询 | AEP query | Whois 。 Trace route | Fing | 


30.254 四 
3 


17> [0029 | ~ 166. 111.4. 100 [ww. tsinghua edu cn] 


图 6.40 主机 路 由 查询 
5. 其 他 查询 


打开 图 6. 22 中 的 “工具 ”菜单 ,选择 ARP query 选项 ,弹出 如 图 6. 41 所 示 的 窗口 。 在 
该 窗口 中 ,可 查询 到 扫描 范围 内 活动 主机 的 IP 地 址 的 MAC 地 址 。 
此 外 ,在 此 窗口 还 可 以 进行 Whois 查询 和 Ping 检测 。 


物理 地 址 查询 ARP query | Whois | Trace route | Pine | 


Wetwork Interface: 
Device\ITP_{3DEA29C4-0110-4EIC-64CB-PA8669E6F033} (202. 120. 30. 160) 了 | 


[Local Infornation:] 四 
[LinkTpy 


ILinkSpeed: 100000000 b/s 

JBroadeast: 255. 255.255.255 

ass 255. 255. 258.0 
ess: 202. 120. 30. 160 


te ctive node] 

: an. 120. 30 160, WAC: O01- po- De-EE-39 
HT 202 120- 30.3 00-19-E0-37-E3-6F 
202120. 30. 1e, "MRE, 00 82s7A To 
:200 129. 30, 54, WE: 10-49-05-90-7D-77 
re: 202. 120. 30. 79, MAC: 00-21-98-85-08- 

耻 : 80 036.8 ME; -人 8-23-16-34-02 


图 6.41 IP 地 址 和 MAC 地 址 查询 


6.5.4 网 络 监听 应 用 实例 一 一 数据 包 的 捕获 与 分 析 


可 以 使 用 Windows 自 带 的 网 络 监视 器 程序 ,也 可 以 使 用 专用 的 网 络 监视 软件 进行 网 络 
监听 。 通 常 专用 的 网 络 监视 软件 具有 更 强 的 数据 捕获 与 过 滤 功 能 。 

数据 包 的 捕获 就 是 通过 技术 手段 截获 网 络 中 的 数据 包 , 并 根据 需要 对 数据 包 的 内 容 进 
行 过 滤 与 分 析 , 得 到 有 价值 的 信息 。 这 一 技术 被 广泛 应 用 于 网 络 监控 管理 与 网 络 信息 刺探 。 
在 网 络 传输 过 程 中 ,各 种 信息 依据 网 络 协议 , 逐 级 转换 成 电 脉冲 信号 发 送 到 传输 介质 上 ,在 
网 络 中 的 计算 机 接收 到 此 脉冲 信号 后 ,由 网 卡 内 程序 将 脉冲 还 原 成 数据 帧 ,并 判读 数据 帧 中 
的 目的 MAC 地址。 利用 计算 机 上 的 网 卡 驱动 程序 设置 的 接收 模式 判断 是 否 应 该 接收 , 若 
认为 应 该 接收 就 将 其 接收 并 保存 下 来 ,然后 交 给 操作 系统 处 理 ; 否则 就 丢弃 不 要 。 
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现在 广泛 使 用 的 局 域 网 是 以 太 网 。 在 以 太 网 中 ,同一 个 网 段 内 的 信息 是 以 广播 方式 传 
播 的 。 即 在 同一 个 网 段 内 ,一 台 主 机 发 出 的 数据 包 可 传 向 本 网 段 的 每 一 台 主机 。 在 以 太 网 
中 ,计算 机 间 通 信 的 必要 条 件 有 两 个 : 第 一 ,包含 通信 信息 的 电 脉冲 信号 必须 能 到 达 接 收 信 
息 主机 的 网 络 端 口 ; 第 二 ,到 达 网 络 接口 的 数据 包 必 须 能 够 被 网 卡 接受 并 交 与 操作 系统 。 
在 正常 通信 情况 下 ,上 述 第 一 点 由 网 络 中 的 路 由 器 交换机、 集线器 等 设备 及 网 络 传输 介质 
实现 。 这 些 设 备 可 以 保证 将 数据 包 按照 数据 包头 部 的 目的 地 址 传输 到 目的 主机 网 卡 上 的 网 
络 端口 ; 第 二 点 由 网 卡 上 的 处 理 电路 、 处 理 程序 依据 系统 配置 而 实现 。 


1. Sniffer Portable 软件 的 功能 


实现 网 络 监听 的 工具 软件 有 很 多 ,各 有 特点 。 常 用 的 网 络 监听 软件 有 Windows 网 络 监 
视 器 ,Network Genral 公司 的 Sniffer Portable 等 。 出 于 安全 考虑 , Windows 网 络 监视 器 仅 
允许 捕获 进出 本 机 的 数据 包 ,禁止 捕获 与 本 机 无 关 的 主机 间 数 据 包 ; 而 Sniffer Portable 是 
一 款 专用 网 络 监 视 软 件 , 可 以 捕获 一 切 到 达 本 机 网 络 端口 的 数据 包 。 现 在 介绍 Sniffer 
Portable 的 应 用 。 

Sniffer Portable 是 功能 强大 的 协议 分 析 软 件 , 可 工作 于 Windows 2000/XP 系统 中 。 
它 以 被 动 的 方式 监视 和 捕获 每 一 个 在 网 络 中 广播 的 数据 包 , 并 可 对 数据 包 的 内 容 进行 过 滤 、 
分 析 和 存储 。 

Sniffer 产品 服务 中 心 网 址 是 http://www. sniffer-cn. com, 如 图 6. 42 所 示 。 该 网 站 提 
供 最 新 版 本 的 Sniffer Portable 软件 免费 下 载 服务 ,并 提供 2 周 的 免费 试用 期 。 


Sniffer Haemspe an Tus riage nso KAnn 


Sniffer 中 国产 品 服务 中 心 


snmsnifercnicom ,最 新 半 : 


Sniffar ?ortable LANB 络 分 析 伐 
是 一 款 秀 的 查 异 、 第 咯 得 理 及 性 能 
扒 护 工具 是 新 版 本 是 4.8 或 4.9， 妈 持 
10/100/1000W 局 域 网 络 ， 支持 5T4 种 辣 
络 协 议 。 可 以 销 保 癌 络 人 员 维 护 P3 科 
统 ， 解 岂 前 随 、 袖 调和 扩展 多 拓扑 、 多 
协议 网 络 。 通 过 集成 专家 分 析 功 能 和 先 


About Network General /关于 NG 
twork goneral 作 为 全 于 名 先 的 内 安全 与 高 可 用 性 解 六 案 提供 商 ， 一 直列 力 于 提供 是 完善 解决 
旋 案 最 坚实 的 技术 保障 和 服务 。jetvork Gonerlgsni ffer 网 络 分析 位 是 业界 网 结 和 式 上 近 、 甸 议 分 
村、 芭 天 这 时 和 性 能 管理 名 事实 上 的 工业 生计 . 
dt NEMWoRK 和 trerk guawal 公 司 订 与 研 愉 Sni for 技术 16 年 之 入 ， 一 过 全 六 技术 和 客户 对 问 人 
i i Li ”GENERAL we 友和 展 ，sei ffer 已 经 发 成 面 不 同 络 技术 和 不 了 色 用 下 的 不 由 和 产品 
ee i a Sni ffr 的 产品 包括 可 为 网 络 工程 人 员 提供 便 拓 式 的 网 络 分 析 解决 方案 gsai ffer Tortstls 系 列 产品 ; 以 及 
、 定 科 和 分 析 性 乱 动 隧 ， 
Pt 能 提供 网 结 实时 T124 ) 作 扩 分 析 能 力 的 Sniffer 分 机 式 系列 产品 ， 它 桂 实时 间 络 流量 此 控 分 析 和 band8 结 


6.42 Sniffer 产品 服务 中 心 网 站 


对 网 络 管理 员 来 说 ,Sniffer 是 一 种 强大 的 监控 管理 工具 ,可 以 分 析 网 络 中 的 协议 .了 解 
网 络 流量 发现 异 常 通信 等 。 对 网 络 黑客 而 言 ,Sniffer 软件 是 一 种 重要 的 刺探 工具 , 常 被 用 
来 窃取 网 络 账 号 和 密码 ,窃取 网 络 通信 或 电子 邮件 信息 。 因 此 说 Sniffer 软件 也 是 一 把 双 刃 
剑 , 可 为 网 络 管理 工作 提供 重要 的 信息 资源 ,也 可 为 网 络 安全 带 来 巨大 的 威胁 。 熟 悉 该 软件 
可 更 好 地 管理 网 络 ,也 可 对 Sniffer Portable 带 来 的 网 络 安全 威胁 进行 有 效 的 预防 。Sniffer 
Portable 的 主要 功能 如 下 : 
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。 对 捕获 的 网 络 数据 包 进行 详细 分 析 。 

。 利用 专家 分 析 系 统 诊断 问题 。 

。 实时 监控 网 络 活动 。 

。 收集 网 络 利用 率 和 错误 信息 。 

Sniffer Portable 主 界面 如 图 6. 43 所 示 。 从 图 中 可 以 看 出 Sniffer Portable 软件 主 界面 
由 菜单 栏 . 工 具 栏 ,仪表 板 、 状 态 栏 等 部 分 组 成 。 仪 表 板 上 有 带宽 占用 率 、 每 秒 封包 数 和 差错 
率 3 个 表盘 ,显示 当前 网 络 工作 的 状况 。 仪 表 板 下 面 是 网 络 图 表 , 用 曲线 反映 不 同时 刻 网 络 
工作 的 状况 。 


Sniffer Portable = Local (线束 度 在 00 Wbps) =-g 太 四 -ID[xl 


"| sl KI 
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由 利用 
[LT 

回国 ops 
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21:48:31 


图 6.43 Sniffer Portable 软件 主 界面 


Sniffer Portable 共有 7 个 下 拉 菜 单 ,其 主要 功能 如 下 : 

(1) 文件 菜单 

具有 打开 和 保存 各 种 记录 数据 文件 ,软件 系统 工作 模式 的 设 定 、 打 印 各 种 报表 或 报告 和 
运行 脚本 程序 等 功能 项 。 

(2) 监视 器 菜单 

选择 设 定 系统 监视 对 象 和 监视 的 任务 ,可 以 定义 过 滤器 对 监视 的 对 象 有 选择 地 做 出 显 
示 ,也 可 以 查看 报警 日 志 。 

(3) 捕获 菜单 

具有 启动 或 停止 捕获 操作 按照 不 同 的 工作 需求 设置 捕获 过 滤器 和 为 捕获 操作 设置 触 
发 条 件 等 功能 项 。 这 些 功 能 可 大 大 地 提高 捕获 工作 效率 。 

(4) 显示 菜单 

显示 捕获 数据 的 内 容 , 并 对 显示 内 容 进 行 搜索 和 过 滤 。 
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(5) 工具 菜单 

包含 系统 配置 选项 监视 对 象 地址 簿 和 数据 包 自动 发 送 等 系统 工具 。 
(6) 数据 库 菜 单 

对 保存 数据 的 数据 库 进行 整理 和 维护 。 

(7) 窗口 菜单 

按 不 同 的 工作 需要 显示 或 隐藏 不 同 的 窗口 。 

在 Sniffer Portable 软件 中 ,与 网 络 安全 密切 相关 的 是 信息 捕获 部 分 。 


2. 数据 包 的 捕获 与 过 滤 


Sniffer Portable 软件 的 安装 与 配置 过 程 可 参考 相关 的 使 用 手册 或 实验 指导 资料 ,在 此 
较 详细 地 介绍 该 软件 的 应 用 。 

(1) Sniffer Portable 的 启动 

Sniffer Portable 软件 安装 好 后 ,选择 “ 开 


始 ” 一 “程序 "Sniffer Pro 菜单 , 单 击 Sniffer = rr 新 建 0).， 
启动 Sniffer Portable 程序 ,弹出 如 图 6. 44 所 | 
示 的 “当前 设置 "对 话 框 ,对 话 框 中 列表 显示 出 * 
本 计算 机 中 可 以 使 用 的 网 卡 。 若 计算 机 中 装 有 J 


多 个 网 卡 , 需 要 从 中 选择 准备 用 于 监听 的 网 卡 ， 
即 选中 与 被 监听 系统 连接 的 网 卡 , 再 单 击 “ 确 
定 "按钮 。 图 6. 44 “当前 设置 "对 话 框 

(2) 数据 包 的 捕获 

捕获 数据 包 需 要 将 监听 主机 与 被 监听 主机 通过 集线器 连接 在 一 起 。 

Sniffer Portable 捕获 工具 栏 共 有 “开始 ”“ 和 暂停 “停止 "“ 停 止 和 显示 ”“ 显 示 ” 和 “ 定 
义 过 滤器 ”6 个 按钮 ,如 图 6. 45 所 示 。 


国 文件 中 央视 器 如 捕获 C) 显示 @) 工具 GD) 数据 库 了 @) 窗口 人 


NE Sl 
本 | 二 | 全 | 则 | 鸡 | 由 | 雷 | 汉 |@@| 肥 | 为 | 多 | 可 | 


图 6.45 捕获 工具 栏 


捕获 方法 很 简单 , 单 击 捕获 工具 栏 上 的 “开始 ?按钮 即 可 开始 捕获 。 一 旦 捕获 到 有 效 数 
据 包 ,捕获 工具 栏 上 的 “停止 和 显示 ”按钮 由 灰色 变 为 彩色 , 单 击 此 按钮 可 停止 捕获 并 显示 捕 
获 数据 包 的 内 容 。 

(3) 数据 包 的 读 取 与 分 析 

Sniffer Portable 捕获 到 的 数据 包 被 暂 存在 内 存 里 , 单 击 * 显 示 ? 或 “停止 和 显示 ?按钮 可 
以 把 捕获 的 数据 包 内 容 显示 出 来 。 在 数据 显示 窗口 中 ,通过 窗口 标签 可 以 选择 如 下 显示 
模式 。 

。 专家 模式 : 该 模式 是 一 种 综合 显示 模式 ,将 各 种 捕获 数据 的 信息 综合 排列 显示 在 窗 

口中 。 
。 解码 显示 模式 : 该 模式 可 将 捕获 到 的 数据 依据 不 同 的 协议 依次 详细 显示 出 来 ,是 数 
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MV 


i ee 
据 分 析 的 主要 模式 。 在 这 种 模式 下 ,可 以 清晰 地 看 到 数据 包 中 每 一 个 字 节 内 容 及 其 
在 协议 中 所 处 的 位 置 与 含义 ,如 图 6. 46 所 示 。 
加 文件 此 视 器 如 扩 获 C) 显示 四 工具 上 数据库 双 ) 窗口 中 于 助 D -x 
| 5 ali|m| | Fr 
2 鱼 | 汪 | 全 | 当 | 公 中 | 到 | 蕴 | 全 | 区 | 思 | 中 型 
ET [古称 地 址 Len 同 Riel 时 间 Den 
后 [92 135.153.190 [192.168.1.10' 7 ntinuation of frane 324; 1452 Bytes 01506 0:00:16.704 
355 192 168.1.100] | 135.153.190|TCP pr S=1849 ACK=2101659762 Nt 0:00:16.705| oo» 
9 356 | 入 135.153.190 92 168 1 100 ati Of frame 324， 521 tes O574 0:00:16 706 
357 2 16 0 HTTP 3 2 区 2i 0 
358 [192 168 1 100] [61.135.153.190 TeP D-80 S=1849 ACK=2101660954 VIN=6434 50 0:00:16.708 
359 [61.135.153.190 [192,168 re HTTP De of frane EE Ye en 11506 0:00:16.713 
加 360 [61.135 ei 站 [192.168 0] HTTIP: Continuation of frame es 11506 0:00:16.717 
361 92 168 0] [61.135 i8a! 290. TCP: D=80 S=1849 Petit 全 和 0:00:16.718 
加 | 362 [61 135 153.1 站 [192 168 1 100] HITP Continuation of frane 324 520 Bytes o. 574 0 00 16 ?19 
和 本 由 
TCP: Checksum = 90CD (correct) 加 
TCP: Urgent pointer “0 
TCP: No TCP options 
TCP: [672 Bytes of data] 
TCP 


日 于 HTTE，Continuation of frane 324 


00000000: 00 0d 50 8a £0 于 00 14 78 E 元 可 08 00 45 00 马 7 x PE 
l00000010: 02 c8 05 12 40 00 38 06 al cc 3d 87 99 be c0 ag .?.8.8.y= 嘎 纠 1 
00000020: 01 64 00 50 07 39 7d 44 ca 7a 52 81 ee 36 50 18 ,dB .9}D 须 R 债 6P. 
|00000030: 22 08 00 00 49 49 07 cb el fa ab ac 17 b5". 烽 . .II. 钠 1 
00000040: 61 e2 3c cl 64 9d db 4a a5 19 52 25 29 47 fb b2 a? 靳 注 J?R%)G 
00000050: 3e oa 1f 95 7a 45 6d c8 af 56 f5 ef ae 22 b9 08 > 啊 En 券 Vv 于 ?’ 
00000060: 91 97 7a 4a 0a c6 al 17 es 3b 68 7a 54 d3 b9 eb 短 z] 哗 ?hzT 庚 1 
00000070; ae 76 d3 77 60 70 60 19 £9 60 gb 6f d4 cd 41 b4 了 WI 稻 "p . 南 绩 酝 站 1 
l00000080; 86 £7 2a e6 6b d2 8e 29 c4 £0 £3 65 73 b7 b7 37 噶 * 志 下 | 号 条 >》 
00000090: al 4a a5 bc 30 85 87 7c 84 12 92 24 ef he fe 万 0 厘 1?.? 岂 1 
l000000a0: le fe da ec 42 c3 2e 0c b5 d5 d4 ad be 62 10 00 页 ?7. 箭 原 绅 
000000b0: 73 e2 b3 98 £3 53 a5 £4 73 c6 04 31 44 7f 6a 24 s 独 枫 Ss?1DI1j$ 
|000000c0: 14 55 15 f7 77 3e d3 ad 11 2c bb 66 91 a5 94 e6 .T- 时 > 迎 . . 晰 思 旋 
nnnnnnan: 77 19_ nm dm NA 9q -7 hm f9 9q hf a7 Sm m9 21 mf vy NH 尝 钢 流 站 
解码 Protocol Drst 
图 6.46 解码 显示 模式 


矩阵 显示 模式 : 


量 及 字 节 数 。 
(4) 捕获 过 滤 


该 模式 可 以 直观 地 看 出 捕获 的 数据 包 中 哪些 地 址 的 主机 间 进 行 了 
何 种 协议 的 连接 。 
主机 列表 显示 模式 : 在 该 模式 下 详细 列 出 每 一 个 地 址 上 各 种 协议 出 入 数据 包 的 数 


Sniffer Portable 的 信息 捕获 能 力 很 强 , 在 瞬间 可 以 捕获 大 量 的 数据 ,虽然 其 中 有 些 数 
据 是 有 价值 的 ,但 绝 大 多 数 数据 是 无 用 的 ,如 果 不 对 这 些 数据 有 选择 地 捕获 ,会 占用 大 量 的 
系统 资源 ,而 且 会 给 提取 有 用 信息 带 来 困难 。 


Sniffer Portable 有 着 很 强 的 数据 过 滤 功 
摘要 ”地 址 “| 数据 模式 | 高 级 | 缓冲 | 
已 知 的 地 址 : Dragable) EE) 


能 ,通过 合理 配置 过 滤器 ,可 以 仅 对 有 价值 的 信 
息 进行 捕获 ,提高 系统 工作 效率 ,降低 系统 工作 


负荷 。 


单 击 Sniffer Portable 捕获 工具 栏 上 的 “ 定 
义 过 滤器 ”按钮 ,可 以 打开 “定义 过 滤器 "对话 
框 。 在 对 话 框 中 可 以 设置 按 特定 的 地 址 及 其 数 
据 传输 方向 进行 过 滤 , 如 图 6. 47 所 示 ; 可 以 设 
置 按 某 种 协议 或 数据 包 大 小 进行 捕获 ,如 图 6. 48 
所 示 ; 可 以 设置 捕获 缓冲 区 的 大 小 ,并 设置 自动 
内 容 保存 到 指定 位 置 的 文件 中 , 如 


将 缓冲 区 
图 6. 49 所 示 。 


地 址 类 型 : (A) 


马 汪 马 | 
时 个 号 


| 加 一 时 任意 的 
| 到 和 一 男 | 202106116415 
到 全 男 20211516202 


图 6.47 定义 过 滤器 一 一 地 址 


摘要 | 地 址 | 数据 模式 高 级 | 名 种 | 
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| 地 址 | 狼 反 模式 | 高 级 绥 剖 | 
EE 一 1 了 当 组 种 两 时 一 一 一 


廊 约 IP-vIxEs 四 
品级 Tso-Tz4 MB 加 | 
后 约 osrr 
由 -也 玉 rc 查 老 旬 天 
田 也 名 wr 2 
民工 一 te 
DY¥m | 
田口 得 mx ee a 
上 拉 史 加 捕 奖 经 冲 
a F 开本 
数据 包 大 小 G) 和 目录 [FErora Files\AI\Sni EferT\Proor Ed| 
Less Than | J 和 a 
NE [Dcac 诸 误 二 文件 名 前 如 。 乓 区 文件 数目 : QD) | 
i 厅 唯一 的 名 称 隆 厂 包装 文件 各) 


取消 | 配置 文件 
图 6.48 定义 过 滤器 一 一 高 级 


取消 | 配置 文件 ，， 
图 6.49 定义 过 滤器 一 一 缓冲 


通过 上 面 过 滤 条 件 的 指定 ,可 以 有 针对 性 地 进行 信息 捕获 ,使 捕获 到 的 数据 包 所 包含 的 


都 是 所 需要 的 信息 。 
3. 网 络 协议 分 析 


捕获 数据 包 的 目的 是 获得 网 络 中 有 价值 的 信息 。 在 捕获 了 网 络 传输 的 数据 包 后 ,利用 
Sniffer Portable 软件 可 以 对 捕获 的 数据 按照 不 同 的 网 络 协议 层 进行 分 析 与 解释 ,可 极 大 地 


方便 对 捕获 到 的 数据 进行 分 析 和 理解 。 


图 6. 50 所 示 是 在 解码 显示 模式 下 使 用 Sniffer Portable 软件 捕获 的 一 段 网 络 通信 内 
。 窗 口 工作 区 被 分 成 三 层 窗 格 。 上 面 的 窗 格 显示 数据 包 列 表 , 每 一 行 代表 一 个 数据 包 , 可 


pln 


下 面 窗 格 显示 当前 选中 的 数据 包 用 十 六 进 制 和 ASCII 码 显示 的 具体 内 


号 数据 包 源 地 址 .目标 地 址 和 数据 包 内 容 摘要 等 ; 


容 ; 中 间 窗 格 显示 当 


前 选中 的 数据 包 中 包含 的 网 络 协议 和 各 协议 报头 在 数据 包 中 的 位 置 。 


加 文件 @J 败 视 器 如 请 厅 C 工具 上 ”数据 库 下 ) 窗口 亿 ”帮助 中 


al 到 [rr 一 
名 @la| 2| | &l 


J Ports117d GET /Rtele Print ope 
.28.46] OJ HTTP: R Port=1478 HTIP/1.1 Status=OK-11 
4102 2 0 TE EPort:149 0 EE tavicon Yeo HT 和 | 
[218.61.28.46] | [192.168.1.100] HTTP: R Port=1478 HTTP/1.1 Status=Not Modif 
[192 168.1.100]|[218 .61.28.46] |TCP: D=80 S=1478 ACK*2693924022 WIN=6511 
# |[202.108.5.100]|[192.168.1.100]|®#:Pop sow Comnect Tme 
[POP3: R FORT-1476 Usernane not valid 
[192.168.1.100]|[202.108.5 100]|TCP: D=110 S1476 FIN ACK=3312984295 SEQ=153 
Da ini innn ran2 NS 1MN TP D11N S14AN SYSFDeS3n41595-TPIn WIN 


口 
口 
| 
口 
口 
日 
网 | 


加 时 DLC: Ethertype=0800. size=388 bytes 
加 竺 IP; De[192.168.1.100] S=[218.61 28.46] LEN=354 ID=65435 
TCP: De1478 S=80 ACK=117148078 SEQ=2693923598 IEN=334 WIN=65106 
HTTP: R Port=1478 HTTP/1.1 Status=OK-111 bytes of content 


00000000 
00000010 
00000020 50 颖 

00000030: fe 52 41 cb 00 00 48 54 54 50 2f 31 2e 31 20 32 个 A?.HTTP/1.1 2 
00000040: 30 30 20 4f 4b 0d 0a 43 6f 6e 6e 65 63 74 69 6f 00 OK..Connectio 
00000050: 6e 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 43 n: Keep-Alive .C 
nnnnnnpn: Kf Ee 74 fs fe 74 Id dr FS Rm FA7 74 FR 3a 2n 31 ontent—Tenath. 1 


\ 专 家 入 解码 人 矩阵 入 主机 列表 入 Protocol Dist 人 查看 统计 表 为 这 当前 对 话 / 


图 6. 50 解码 视图 模式 下 捕获 的 内 容 
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在 下 面 窗 格 中 用 鼠标 选中 一 个 协议 后 ,就 会 用 灰色 底 纹 突显 出 与 协议 相关 的 内 容 。 

(1) DLC 帧 分 析 

现在 以 DLC( 数 据 链 路 控制 ) 帧 为 例 , 学 习 使 用 Sniffer Portable 软件 分 析 网 络 协 议 的 
方法 : 

在 数据 链 路 层 ,数据 是 以 帧 为 单位 进行 发 送 的 。 以 太 网 帧 包含 如 下 6 个 域 : 

QO 前 导 : 8 个 字 节 ,用 于 同步 和 起 始 标志 ,在 Sniffer Portable 中 不 显示 。 

@ 目的 地 址 : 6 个 字 节 ,表示 目的 主机 MAC 地 址 。 

@ 源 地 址 : 6 个 字 节 ,表示 源 主机 MAC 地 址 。 

@ 类 型 域 : 2 个 字 节 , 标 识 在 以 太 网 上 运行 的 客户 端 协议 ,如 IP、IPX 等 网 络 层 协议 。 

@ 数据 域 : 46 一 1500 字 节 ,这 里 是 真正 要 传输 的 数据 。 如 果 长 度 少 于 46 字 节 则 由 
DLC 协议 自动 填充 到 46 字 节 。 

帧 校 验 序列 : 4 个 字 节 ,利用 CRC 循环 宛 余 校 验 法 ,在 Sniffer Portable 中 不 显示 。 

下 面 以 如 图 6. 51 所 示 数 据 包 实例 分 析 DLC 帧 的 结构 ,从 图 中 可 看 到 ,此 帧 以 DLC 
Header 开头 , 帧 内 容 包 含 IP 和 TCP 协议 内 容 。 


.3 : 
DIC: Frame 217 arrived at 01:07:25.3184; frame size is 60 (003C hex) bytes. 
DIC: Destination = Station 001478CF7BDC 


IDIC: Source = Station 000D608AF03F 
DLC: Ethertype = 0800 (IP) 
DLC 


田 委 IP: D=[202.108.5.100] S=[192.168.1.100] LEN=20 ID=51893 
由 TCP: D=110 S=1480 FIN ACK=3318782200 SEQ=53041648 LEN=0 WIN=65378 
DIC: Frame padding= 6 bytes 


00000000” 面 cf 0 本 
00000010 人 括 d 
00000030: oe é4 De ea 0 te 03 29 5 £0 Se 30 98 £8 人 1 也 了 Jr 本 二 庆 
00000030: ft 62 Sc 7b 00 00 00 00 00 00 00 00 


图 6.51 DLC 帧 结构 


在 DLC 头 部 共 显 示 6 行 信息 ,其 中 第 3 一 5 行 显示 内 容 是 DLC 的 真实 内 容 , 其 他 行 是 
Sniffer Portable 添加 的 状态 信息 。 

第 1 行 : Sniffer Portable 添加 的 DLC 起 始 标志 

第 2 行 : Sniffer Portable 添加 的 帧 序号 .捕获 日 期 .时 间 \ 帧 的 长 度 等 信息 。 

以 上 2 行内 容 在 数据 包 中 是 没有 的 。 

第 3 行 : 目标 主机 的 MAC 地 址 , 占 6 个 字 节 , 帧 内 地 址 00H 一 05H。 

第 4 行 : 源 主 机 的 MAC 地 址 , 占 6 个 字 节 , 帧 内 地 址 06H~0BH。 

第 5 行 : 网 络 层 协议 的 类 型 , 占 2 个 字 节 , 帧 内 地 址 0CH~0DH。]IP 协议 为 0800、ARP 
协议 为 0806 等 。 

第 6 行 : Sniffer Portable 添加 的 DLC 结束 标志 。 

DLC 结束 标志 之 后 是 此 帧 所 要 传输 信息 的 真实 内 容 。 此 帧 内 容 包 括 IP 和 TCP 协议 
两 部 分 ,其 中 IP 协议 内 容 长 度 为 20 字 节 。 帧 的 最 后 一 行 是 DLC 填充 段 。 因 为 此 数据 帧 内 
容 长 度 不 足 46 字 节 ,DLC 自动 添加 了 6 个 字 节 的 00 将 其 补足 为 46 字 节 。 

(2) IP 数据 包 分 析 

IP 报头 从 数据 包 中 第 OEH 字 节 开始 (00H~0DH 是 DLC 帧 头 ) ,如 图 6. 52 所 示 。 
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IP: 一 一 - IP Header 一 一 一 


LIP: Version = 4. header length = 20 bytes 
IP; Type of service = 00 
IPB WO = routine 
下 -0 ...， = nornal delay 
性 normal throughput 
normal reliability 


a 0. = ECT bit - transport protocol will ignore the CE bit 
IP: .0 = CE bit - no congestion 
IP: Total length = 82 bytes 

BIP: Identification = 30970 

DB IP: Flags = 4X 


总 IP: 1 
IP 0. .... = last fragnent 
DIP: Fragnent offset = 0 bytes 
IP: Tine to live = 51 seconds/hops 
IP: Protocol = 6 (TCP) 
IP: Header checksun = FlE3 (correct) 


don't fragment 


GB IP: Source address = [219.133.63.54] 
BIP: Destination address = [192.168.1.100] 
B IP: No options 


1P 
由 明 Tce D=3801 S=80 ACK=2630515208 SEQ=809852913 IEN=42 WIN=8712 


00000000; 
00000010; fa! 33 E 5 3f 3 

00000020; 0 50 Oe d9 30 Sf f1 9c ca 7a 08 18 P.?E_ 
00000030: 22 08 ko lc 06 00 00 22 02 10 1f 0 02 16 32 d9 “oi. 21 
00000040: 4a 60 6f 44 9c af 54 c7 e0 10 06 45 b5 ce a2 0c J*oD 油 T 表 ..E 泣 ? 
00000050: fd 88 53 d6 35 ld 99 4a dc a5 6d 91 0c 0b d9 03 胡 S?. 模 亏 mn?.? 


图 6.52 数据 包 中 的 开始 字 节 


地 址 OE 占 1 字 节 ,其 中 高 4 位 是 IP 协议 版 本 号 , 低 4 位 是 本 包 IP 首部 长 度 。 此 例 中 
0EH 地 址 内 容 为 45H,IP 协议 版 本 号 为 4( 即 IPv4) ,此 包 所 经 过 的 各 个 路 由 器 等 网 络 设备 
均 按 IPv4 格式 对 数据 包 进 行 解读 与 处 理 ; 数据 包 IP 首部 长 度 为 20 字 节 。 

地 址 OF 占 1 字 节 ,表示 服务 类 型 。 定 义 IP 协议 包 的 处 理 方法 ,包含 3 位 过 程 字段 ,1 
位 延迟 字段 ,1 位 流量 字段 ,1 位 可 靠 性 字段 ,1 位 成 本 字段 和 1 位 未 用 字段。 

地 址 10H~11H 占 2 字 节 , 表 示 IP 包 总 长 度 。 此 例 中 IP 包 总 长 度 为 0052H, 即 82 字 
节 ; 从 OEH 到 5FH 包含 了 IP 包 头 及 数据 长 度 。 

地 址 12H~13H 占 2 字 节 , 表 示 IP 报 文 标识 字段 ,每 一 个 IP 数据 包 都 有 一 个 与 分 组 过 
程 相关 的 唯一 标识 ,作为 到 达 目 标 后 恢复 数据 时 组 合 的 依据 。 此 例 中 标识 为 78FAH。 

地 址 14H~15H 占 2 字 节 ,高 3 位 是 有 关 数 据 分 段 的 标识 , 低 13 位 是 段 偏 移 。 当 数据 
分 组 时 , 它 和 更 多 段位 进行 连接 ,帮助 目的 主机 将 分 段 的 包 组 合 。 

地 址 16H 占 1 字 节 ,表示 IP 包 生 存 时 间 (TTL)。 当 某 一 网 络 设备 发 出 IP 包 的 同时 要 
给 IP 包 设 定 一 个 生存 时 间 常 数 ,每 经 过 一 个 路 由 器 此 时 间 常 数 自 动 减 1, 当 TTL 值 减 为 0 
还 无 法 找到 目标 主机 时 就 自动 消亡 。 此 例 中 捕获 到 的 数据 包 TTL 值 为 33H(51) ,表明 它 
从 发 出 到 被 捕获 已 经 过 64 一 51 王 13 个 路 由 器 了 。 

地 址 17H 占 1 字 节 ,是 协议 代码 ,表示 此 IP 包 携 带 的 是 何 种 协议 报 文 。 常 见 的 有 
ICMP、TCP 和 UDP。 此 例 中 协议 代码 值 为 6, 表示 报 文 是 TCP 协议 。 

地 址 18H~19H 占 2 字 节 ,表示 首部 校 验 和 ,用 于 校 验 和 纠 错 。 

地 址 1AH~1DH 占 4 字 节 ,表示 源 IP 地 址 。 此 例 为 DBH、85H、3FH 和 36H 4 字 节 ， 
用 点 分 十 进 制 表示 即 为 219. 133. 63. 54。 

地 址 1EH~21H 占 4 字 节 ,表示 目标 IP 地 址 。 此 例 为 COH、A8H、01H 和 64H 4 字 
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MV 


节 , 用 点 分 十 进 制 表示 即 为 192. 168. 1. 100。 


随后 是 选项 ,此 例 中 没有 选项 。 选 项 之 后 是 此 IP 数据 包 的 载荷 。 此 例 为 TCP 协议 传 


输 的 数据 。 


机 发 


(3) ARP 数据 包 结 构 分 析 
如 图 6. 53 所 示 是 IP 地 址 为 192. 168. 1. 100 的 主机 向 IP 地 址 为 192. 168. 1. 101 的 主 


出 ARP 请 求 的 数据 包 。 
下 监视 器 别 ) 捕获 (CC) 显示 种) 工具 人 ) 数据 库 巴 ) 窗口 如 帮助 0 
"| ll) KB 本 | 
图 | 倒台 ll ol elt | 本 Sl salal 2| ©| ol 


| 6 IARP: R FA=[132.168.1.101] HA=0020EDB3C2DC 
电 二 == i 二 一 三 | 


可 融 Dic Ethertype=0806, size=60 bytes 
TF 


ARP/RARP frane 


] : Hardware type = 1 (10Mb Ethernet) 
Se Protocol type = 0800 (IP) 
ARP: Length of hardvare address = 6 bytes 
ARP: Length of protocol address = 4 bytes 
ARP: Opcode 1 (ARP request) 
ARP; Sender's hardware address = 000D608AF03F 
ARP: Sender's protocol address = [192.168.1.100] 
ARP; Target hardvare address = 000000000000 
ARP: Target protocol address = [192.168.1.101] 


ARP : 

ARP: 18 bytes frame padding 

ARP : 
00000000: ff ff ff ff ff ff 00 0d 60 8a f0 3f 08 05 了 其? 
00000010 : 
00000020: 00 00 00 00 00 00 


00000030: 00 00 00 00 00 00 00 00 00 00 00 00 


图 6.53 ARP 请 求 的 数据 包 


数据 包 前 14 个 字 节 为 DLC 包头 ,ARP 协议 包 从 偏 移 地 址 0OEH 开始 到 29H 结束 。 
地 址 0OEH~0FH 表示 硬件 类 型 ,以 太 网 为 0001H。 

地 址 10H~11H 表示 网 络 层 协议 类 型 ,IP 协议 为 0800。 

地 址 12H 表示 硬件 地 址 长 度 , MAX 地 址 长 度 恒 为 6 字 节 。 

地 址 13H 表示 协议 地 址 长 度 ,IP 地 址 恒 为 4 字 节 

地 址 14H~15H 表示 操作 ,请 求 包 恒 为 1, 应 答 包 恒 为 2。 此 例 是 请 求 包 , 值 为 1 。 

地 址 16H~1BH 表示 源 主机 的 MAC 地 址 。 此 例 为 00-0D-60-8A-F0-3F。 

地 址 1CH~1FH 表示 源 主机 协议 地 址 。 此 例 为 192. 168. 1. 100, 即 COH、A8H、01H、 


64H。 


01H 


地 址 20H~25H 表示 目标 主机 MAC 地 址 。 此 例 为 ARP 请 求 包 ,地 址 为 0。 

地 址 26H 一 29H 表示 目标 主机 协议 地 址 。 此 例 为 192. 168. 1. 101, 即 COH 、A8H、 
、65H。 

地 址 2AH 一 3BH 为 填充 (DLC 将 数据 包 不 足 长 度 部 分 补足 ) 。 

目标 主机 收 到 此 ARP 请 求 包 后 ,回应 一 个 ARP 应 答 包 ,如 图 6. 54 所 示 。 有 具体 内 容 的 


含义 请 读者 自己 分 析 。 
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ee ss = | 
于 DIC: Ethertype=0806, size=60 bytes 
日 村 ARP: 一 -一 ARP/RARP frane 
BB aRP 


ARP: Hardwvare type = 1 (10Mb Ethernet) 

ARP: Protocol type = 0800 (IP) 

ARP: Length of hardware address = 6 bytes 

ARP: Length of protocol address = 4 bytes 
LD ARP: Opcode 2 (ARP reply) 


ARP: Sender's hardware address = 0020EDB3C2DC 
ARP: Sender's protocol address = [192.168.1.101] 
ARP: Target hardware address = 000D608AF03F 


ARP: Target protocol address [192.168.1.100] 


昌 让 : 18 bytes frane padding 


00000000: 00 0d 60 8a £0 3f 00 20 ed b3 c2 dc 碟 7， 否 要 
00000010: 08 00 06 04 00 02 00 20 ed b3 c2 dc BUMSONONISS . .次 曾 轿 配 
00000020: 00 0d 60 8a f0 3f c0 a8 01 64 00 00 00 00 00 00 ..* 焊 ? 括 .d 
00000030: 00 00 00 00 00 00 00 00 00 00 00 00 


图 6.54 ARP 应 答 包 内 容 


(4) ICMP 数据 包 结 构 分 析 
图 6. 55 所 示 为 使 用 Sniffer Portable 捕获 的 一 个 ICMP 数据 包 内 容 。 


0 
0 : 
0 
0 : 
0 
0 
0: 


58 .1.100]| ICHP 


DLC: Ethertype=0800. size=74 bytes 
外科 IP: D=[202.108.33.32] S=[192.168.1.100] LEN=40 ID=10981 
日 网 ICMP: 一 一 ICHP header 


ICMP 
ICMP; Type = 8 (Echo) 


ICMP: Code = 0 
ICMP: Checksun = 495C (correct) 
ICMP: Identifier = 768 
ICMP: Sequence nunber = 256 
ICMP: [32 bytes of data] 
ICMP : 
ICMP 


[Normal end of "ICMP header" ] 


00000000: 00 14 78 cf 7b dc 00 ud 60 8a £0 3f 08 00 45 00 . 
00000010: 00 3c 2a e5 00 00 80 01 62 43 c0 a8 01 64 ca 6c 1 


图 6.55 捕获 的 ICMP 数据 包 内 容 


地 址 00H~0DH 为 DLC 包头 ; OEH~21H 为 IP 包头 。 

地 址 22H 为 ICMP 数据 包 类 型 字段 ,不 同 的 代码 代表 此 数据 包 不 同 的 类 型 。 此 例 中 代 
码 为 08, 类 型 描述 为 响应 请 求 。 

地 址 23H 为 代码 ,前 1 字 节 设 定 的 类 型 不 同 , 此 字 节 含义 也 不 同 。 此 例 中 为 0。 

地 址 24H 一 25H 为 校 验 和 ,用 于 校 验 数据 包 的 正确 性 。 

以 下 内 容 随 不 同 的 类 型 和 代码 有 不 同 的 数据 内 容 。 此 例 为 响应 请 求 ICMP 包 , 其 内 
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容 为 : 

地 址 26H 一 27H 为 标识 。 

地 址 28H 一 29H 表示 发 送 的 二 进 制 位 序列 号 。 

地 址 2AH 一 49H 为 发 送 探测 包 内 容 。 使 用 Windows 系统 的 ping 命令 时 内 容 为 英文 
小 写字 母 a 一 w 循环 发 送 ,直至 达到 命令 要 求 的 字 节 数 为 止 ,默认 字 节 数 为 32。 

图 6. 56 为 上 述 响 应 请 求 的 应 答 包 ,内 容 读者 自己 分 析 。 


: Type = 0 (Echo reply) 

: Code = 0 

: Checksun = 515C (correct) 

: Identifier = 768 

: Sequence number = 256 
[32 bytes of data] 


: [Normal end of "ICMP header".] 


Bo ooeoa 00 a 用 8a f0 3f 00 14 78 cf 7b dc 08 00 45 
6 da 00 00 £8 01 fe 4d ca 6c 21 050 3B < 1 括 
85598829 


0000003 


00000040 : 


图 6. 56 ICMP 响应 请 求 应 答 包 


(5) TCP 数据 包 结 构 分 析 

图 6. 57 为 TCP 数据 包 结 构 , 分 析 如 下 : 

地 址 00H~0DH 为 DLC 包头 ; OEH 一 21H 为 IP 包头 。 

地 址 22H 一 23H 表示 源 主 机 端口 号 。 此 例 为 使 用 HTTP 协议 访问 网 页 ,默认 端口 号 
为 80(0050H) 。 

地 址 24H~25H 表示 目标 主机 端口 号 ,由 应 用 程序 随机 产生 。 此 例 为 3545(0DD9H)。 

地 址 26H 一 29H 为 序号 ,指明 段 在 即将 传输 的 段 序列 中 的 位 置 。 此 例 中 序号 为 
2938112427(AF2009ABH) 。 

地 址 2AH~2DH 为 确认 号 ,作为 收 到 数据 的 响应 ,连接 成 功 后 adit A 
请 求 包 序号 十 应 答 数据 包 长 度 , 若 不 进行 通信 仅 进行 连接 时 长 度 为 1 字 节 (同步 字 节 )。 
例 为 648 543 792 十 1 一 648 543 793(26A7FE31H) 。 

地 址 2EH 的 高 4 位 为 首部 长 度 , 其 值 为 首部 字 节 数 /4; 低 4 位 保留 未 用 。 此 例 TCP 
首部 长 度 20 字 节 ,故此 字 节 高 4 位 值 =20/4 二 5。 

地 址 2FH 的 高 2 位 保留 未 用 ; 低 6 位 为 标志 位 。 

地 址 30H~31H 为 指定 发 送 端 能 传输 下 一 段 大 小 的 窗口 。 此 例 为 65259(FEEBH)。 

地 址 32H 一 33H 为 用 来 校 验 段 头 和 数据 部 分 可 靠 性 的 校 验 和 。 此 例 为 082DH 。 

地 址 34HH~35H 为 段 中 包含 的 紧急 信息 ,只 有 当 URG 标志 置 1 时 紧急 指针 才 有 效 。 
此 例 为 0。 


第 6 章 “网络 攻 防 技术 与 应 用 实践 


序号 “| 状态 | 源 地 址 目标 地 址 | 搓 要 
5 192.168.1.200]|[192.168.1.100]/HTTP: R Port-3545 HITP/1.1 Status 
7 |[192.168.1.100]|[192.168.1.200]|TCP: D=80 S=3545 ACK=29381138€ 


到 DIC: Ethertype=0800. size=1514 bytes 


由 等 IP:; D=[192.168.1.100] S=[192.168.1.200] IEN=1480 ID=105 
上 风 
TeP 
TCP: Source port = 80 (WUW/WUW-HTTP/AHTTP) 
SB TCP: Destination port = 3545 


3 TCP: Sequence nunber = 2938112427 
TCP.: Next expected Seq nunber= 2938113887 
TCP: Acknowledgment number = 648543793 


TCP: Data offset = 20 bytes 

TCP: Reserved Bits: Reserved for Future Use (Not shown in the Hex Dunp) 

TCP: Flags 0 
电 TCP 0 = (No urgent pointer) 
国 TCP 1 = Acknovledgment 

TCP: +0... = (No push) 

TCP: 0.. = (No reset) 

TOP .0. = (No SYN) 

TCP :0 = (No FIN) 

TCP: Windovw = 65259 

TCP: Checksun = 082D (correct) 

TCP: Urgent pointer 一 加 


TCP: No TCP options 
TCP: [1460 Bytes of data] 


TOP 
四 寺 HTTP: Continuation of frane 5; 1460 Bytes of data 
50000000: 00 0d 60 ga f0 3f 00 03 ff 6b f0 3f 09 00 45 00 CR 


001 0 00 69 40 00 80 06 70 36_c0 a8 01 c8 c0 a8 坊 1 
|00000030 
[00000040: 
[00000050: 
[00000060 
|00000070: 


必要 家 入 解码 Protocol Dist. 


图 6.57 TCP 数据 包 结 构 


以 下 地 址 车 有 选项 则 为 连续 32 字 节 选项 。 此 例 没有 选项 字段 。 后 面 内 容 全 部 为 被 传 
输 的 数据 。 此 例 为 以 HTTP 协议 传输 的 超 文本 网 页 信息 ,全 部 以 明文 方式 传输 。 


4. 数据 的 安全 问题 


网 络 中 的 数据 通常 采用 明码 传送 的 ,任何 人 只 要 将 数据 包 捕 获 ,就 可 以 很 容易 地 获得 数 
据 包 中 的 信息 。 而 通过 以 上 介绍 可 知 ,在 网 络 中 信息 传输 是 很 容易 被 捕获 和 分 析 的 ,这 样 会 
给 网 络 数据 的 安全 性 带 来 威胁 。 

在 捕获 的 数据 包 中 可 以 了 解 到 通信 双方 的 IP 地 址 、 主 机 物理 地 址 、 使 用 的 通信 协议 、 登 
录 账 户 和 密码 以 及 通信 内 容 等 。 

图 6. 58 是 一 个 被 捕获 的 数据 包 , 从 图 中 数据 内 容 可 以 看 到 通信 双方 计算 机 的 IP 地 址 
分 别 为 192. 168. 1. 100 和 202. 108. 37. 68, 双方 的 物理 地 址 分 别 是 001478CF7BDCH 和 
000D608AF03FH ,使 用 HTTP 协议 浏览 网 页 ,网 页 的 内 容 是 有 关 人 大 和 政协 会 议 等 。 

通过 Sniffer Portable 可 以 很 容易 了 解 到 各 个 主机 上 的 信息 流量 、 各 主机 访问 或 被 访问 
的 状态 ,从 中 可 以 刺探 到 业务 内 容 和 业务 量 等 商业 敏感 信息 。 

黑客 利用 协议 实现 的 攻击 .都 是 故意 错误 地 设 定 数据 包头 的 一 些 重 要 字段 ,使 接收 端 在 
把 收 到 的 数据 组 装 成 一 个 完整 数据 包 的 过 程 中 出 现 错误 ,这 样 的 错误 往往 会 造成 系统 宕 机 
或 系统 崩溃 。 通 过 以 上 分 析 可 以 看 到 ,黑客 的 网 络 嗅 探 是 对 网 络 安全 的 重大 威胁 ,因此 ,网 
络 管理 员 必须 采取 相应 的 措施 及 时 发 现 并 阻止 。 
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vt 


92 1 100 08 HTTP，C Port-1893 GET /va gif?UNTPROTNFO=Ssz 
[192 168 1.100] [61 1 了 和 190 HITP: C Port=1879 GET /honme/head/sinalogo.g: 
L202 108 37， 68] L192 169 H 21009 TCE: De 1893 S=80 ACK=: 69244597 WIN=7000 
品 |acx Prmtr=1nqa _HTMT_m 


< ss a EE 


也 DIC Frame 363 arrived at 23:13:55.4751; frane size is 1054 (041E hex) bytes 
DIC: Destination = Station 001478CF7BDC 

BPIC: Source = Station 000D608AF03F 

DIC: Ethertype = 0800 (IP) 


IP: D=[202.108.37.68] S=[192 168 1.100] LEN=1020 ID=22937 
田 岗 TCP: D=80 S=1893 ACK=2573168406 SEQ=3669243597 LEN=1000 WIN=65535 
HTTP: C Port=1893 GET /a.gif?UNIPROINFO=sz:1024x768||dp:32||ac:Mozillal |an:Microsoft 


< | 
00000210: fe d0 ad 2c ce af d4 bl 2c d7 dc c0 ed 2c ca e9 ?委员 .总理 . 书 
00000220: bc c7 2c dé f7 cf af 2c bd a8 d2 e9 2c bd a8 dl 记 , 主 席 . 建 议 . 建 ! 
00000230: d4 2c cc el b0 b8 2c c8 cb c3 fl b4 fa bl ed b4 ?提案 ,人 人 民 代表 | 
00000240: f3 bb el 2c d5 fe d0 ad bb el d2 e9 2c ca ae bd 览 ?政协 会 议 ,十 1 
00000250; ec 2c ba fa bd f5 cc ce 2c ce c2 bc d2 bl a6 7c ?胡锦涛 ,温家宝 | 


图 6.58 捕获 的 数据 包 实例 


习题 和 思考 题 


一 、 问 答题 
1. 什么 是 防火 墙 ? 防火 墙 的 主要 功能 和 技术 有 哪些 ? 

2. 什么 是 计算 机 病毒 ? 计算 机 病毒 有 哪些 特征 ? 什么 是 计算 机 网 络 病毒 ? 

3. 简 述 木马 和 蠕虫 的 特点 和 危害 。 

4. 什么 是 黑客 ? 简 述 黑客 攻击 的 主要 类 型 攻击 的 手段 和 工具 。 

5， 简 述 黑客 攻击 的 过 程 。 

6. 什么 是 入 侵 检测 系统 ? 简 述 入 侵 检测 系统 和 防护 系统 的 功能 。 

7. 什么 是 网 络 系统 漏洞 ? 网 络 系统 漏洞 主要 表现 在 哪 几 个 方面 ? 

8. 什么 是 网 络 扫描 和 网 络 监听 ? 什么 样 的 用 户 可 以 进行 网 络 扫描 和 网 络 监听 ? 
9. 说 出 几 种 你 熟悉 或 使 用 的 防 病毒 软件 .网 络 扫描 软件 和 网 络 监听 软件 。 

二 、 填 空 题 

1. 网 络 病毒 具有 传播 方式 复杂 、( ) ) 和 破坏 危害 大 等 特点 。 

2. 防范 病毒 主要 从 ( ) 和 ( ”) 两 方面 入 手 。 

3. 常用 的 防火 墙 技术 有 ( ) 技 术 、( ) 技 术 、( ”) 技 术 和 自 适应 代理 技术 。 


4. 代理 服务 程序 在 幕后 处 理 所 有 ( ) 和 ( ) 之 间 的 通信 以 代替 相互 间 的 直接 


交谈 。 


5. 黑客 进行 的 网 络 攻 击 通常 可 分 为 ( ) 型 ) 型 和 ( ) 型 攻击 。 


6. ( ) 攻 击 是 指 通过 向 程序 的 缓冲 区 写 和 人 超出 其 长 度 的 内 容 , 从 而 破坏 程序 的 堆 


栈 ,使 程序 转 而 执行 其 他 的 指令 ,以 达到 攻击 的 目的 。 


攻击 


7.( ”) 攻 击 是 攻击 者 通过 各 种 手段 来 消耗 网 络 带 宽 或 服务 器 系统 资源 ,最 终 导 致 被 


服务 器 资源 耗 尽 或 系统 骨 溃 而 无 法 提供 正常 的 网 络 服务 。 
8. IDS 是 一 种 ( ) 的 安全 防护 措施 ,而 IPS 是 一 种 ( ) 的 安全 防护 措施 
9. 网 络 系统 硬件 的 缺陷 主要 有 ( Dax yaC ) 和 存储 介质 脆弱 等 方面 。 
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10. 网 络 系统 的 软件 漏洞 可 分 为 ( ys ) 、 数 据 库 系 统 漏洞 、( ) 和 网 络 软 件 


及 网 络 服务 漏洞 。 
三 、 单 项 选择 题 
1. 网 络 病毒 不 具有 ( ) 特 点 。 
A. 传播 速度 快 B. 清除 难度 大 C. 传播 方式 单一 D. 破坏 危害 大 


六 ) 是 一 种 基于 远程 控制 的 黑客 工具 , 它 通 常 寄 生 于 用 户 的 计算 机 系统 中 ,盗窃 
用 户 信息 ,并 通过 网 络 发 送 给 黑客 。 


A. 文件 病毒 B. 木马 C. 引导 型 病毒 D. 蠕虫 

3. 将 防火 墙 软件 安装 在 路 由 器 上 ,就 构成 了 简单 的 ( ) 防 火 墙 。 

A. 包 过 滤 B. 子 网 过 滤 C. 代理 服务 器 D. 主机 过 滤 
4. 不 管 是 什么 种 类 的 防火 墙 , 都 不 能 (  )。 

A. 强化 网 络 安全 策略 B. 对 网 络 存 取 和 访问 进行 监控 审计 
C. 保护 内 部 网 的 安全 D. 防范 绕 过 它 的 连接 


5. ( ”) 是 一 种 可 以 自我 复制 的 完全 独立 的 程序 , 它 的 传播 不 需要 借助 被 感染 主机 的 
其 他 程序 。 它 可 以 自动 创建 与 其 功能 完全 相同 的 副本 ,并 在 没 人 干涉 的 情况 下 自动 运行 。 


A. 文件 病毒 B. 木马 C. 引导 型 病毒 D. 蠕虫 

6 端口 扫描 也 是 一 把 双 刃 剑 , 黑 客 进行 的 端口 扫描 是 一 种 ( ) 型 网 络 攻击 。 

A. DoS B. 利用 C. 信息 收集 D. 缓冲 区 溢出 

佑 交 ) 攻 击 是 一 种 特殊 形式 的 拒绝 服务 攻击 , 它 采 用 一 种 分 布 . 协 作 的 大 规模 攻击 
方式 

A. DoS B. DDoS C. 缓冲 区 溢出 D. IP 电子 欺骗 

8. 入侵 防护 系统 的 缩写 是 (1)( 2 ) 是 认证 中 心 ,而 (3)( ) 是 入 侵 检 
测 系统 的 缩写 。 

(1) A. IDS B. IPS C. CERT BD: CA 

(2). A.. IDS B. IPS ©. ‘CERT BD: CA 

C3). A IDS B. IPS C. CERT BD; CA 


9. 在 网 络 安全 领域 ,网 络 系 统 “ 漏 洞 " 是 指 网 络 系 统 硬件 、 软 件 或 策略 上 存在 的 缺陷 或 
脆弱 性 。 网 络 系统 (1)( ) 主 要 有 硬件 故障 、 网 络 线路 威胁 、 电 磁 辐 射 和 存储 介质 脆弱 等 
方面 ; 各 种 存储 器 中 存储 大 量 的 信息 ,这 些 (2)( ) 很 容易 被 盗窃 或 损坏 ,造成 信息 的 
于 类 

(1) A. 硬件 方面 的 漏洞 。 B. 软件 方面 的 漏洞 。 C. 硬件 故障 ” D. 存储 介质 

(2) A. 硬件 方面 的 漏洞 B. 软件 方面 的 漏洞 。 C. 硬件 故障 ” D. 存储 介质 

10. 网 络 系统 的 (1)( ) 通常 有 硬盘 故障 、 电 源 故 障 、 忌 片 主板 故障 、 驱 动 器 故障 等 ; 
(2)( ) 也 面 对 各 种 威胁 ,非法 用 户 可 对 其 进行 物理 破坏 、 搭 线 穷 听 ,、 通 过 未 保护 的 外 部 


线路 访问 系统 内 部 信息 等 。 
(1) A. 电源 故障 B. 通信 线路 C. 硬件 故障 ” D. 存储 介质 
(2) A. 电源 故障 B. 通信 线路 C. 硬件 故障 。” D. 存储 介质 
四 、 实 验 题 


1. 杀毒 软件 应 用 实验 : 下 载 、 安 装 一 个 著名 的 计算 机 病毒 杀毒 软件 ,并 熟练 运用 该 软 
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件 查 杀 病毒 。 

2. 防火 墙 应 用 实验 : 下 载 .安装 一 个 实用 的 网 络 防火 墙 软件 (如 天 网 防火 墙 ), 设 置 相 
关 的 限制 条 件 , 熟 练 运用 该 软件 保护 网 络 客户 端 。 

3. IDS 应 用 实验 : 下 载 .安装 一 个 实用 的 网 络 IDS 软件 工具 ,并 熟练 运用 该 软件 进行 网 
络 安全 检测 。 

4. 网 络 扫描 器 软件 应 用 实验 : 下 载 .安装 一 个 实用 的 网 络 扫描 器 软件 (如 NetToolsX、 
X-Scan) ,并 熟练 运用 该 软件 进行 网 络 安 全 扫描 检测 。 


VPN 安 全 技术 与 应 用 实践 | 


虚拟 专用 网 (virtual private network,VPN) 是 指 依靠 Internet 服务 提供 者 (ISP) 和 其 他 
网 络 服务 提供 者 (NSP) 在 公用 网 络 中 建立 的 专用 数据 通信 和 网络 。 

VPN 可 使 用 户 利用 公用 网 的 资源 将 分 散在 各 地 的 机 构 动 态 地 连接 起 来 ,进行 数据 低 成 
本 的 安全 传输 ,这 样 既 节省 长 途 电 话费 用 支出 ,又 不 再 需要 专用 线路 。VPN 是 由 物理 上 分 
布 在 不 同 地 点 的 网 络 通 过 公用 网 络 连 接 构 成 的 逻辑 上 的 虚拟 子 网 ,并 采用 认证 \ 访 问 控制 、 
数据 的 保密 性 和 完整 性 等 安全 措施 ,使 得 数据 通过 安全 的 “加 密 管 道 " 在 公用 网 络 中 传输 。 
这 里 的 公用 网 通常 是 指 Internet。 


.1 VPN 技术 基础 
》》 


VPN 是 通过 一 个 公用 网 络 ( 通 常 是 Internet) 建 立 一 个 临时 的 、 安 全 的 连接 ,是 对 企业 
内 部 网 的 扩展 。VPN 可 以 实现 不 同 网 络 的 组 件 和 资源 之 间 的 相互 连接 , 它 能 够 利用 
Internet 或 其 他 公共 互联 网 络 的 基础 设施 为 用 户 创建 障 道 , 并 提供 与 专用 网 络 一 样 的 安全 
和 功能 保障 。 


7.1.1 VPN 概述 


VPN 技术 实现 内 部 网 信息 在 公用 信息 网 中 的 传输 ,就 如 同 在 茫茫 的 广域网 中 为 用 户 拉 
出 一 条 专线 一 样 。VPN 对 用 户 端 是 透明 的 ,用 户 好 像 使 用 一 条 专用 线路 在 客户 计算 机 和 企 
业 服 务 器 之 间 建 立 点 对 点 连接 ,进行 数据 的 传输 。VPN 允许 远程 通信 方 、 销 售 人 员 或 企业 
分 支 机 构 使 用 Internet 等 公用 网 络 的 路 由 基础 设施 以 安全 的 方式 与 位 于 企业 局 域 网 端的 企 
业 服 务 器 建立 连接 。 对 用 户 来 说 ,公用 网 络 起 到 了 “虚拟 专用 ”的 效果 ,通过 VPN, 网 络 对 每 
个 使 用 者 都 是 “专用 ”的 。 使 用 VPN 技术 可 以 解决 在 当今 远程 通信 和 量 日 益 增 大 ,企业 全 球 
运作 广泛 分 布 的 情况 下 ,员工 需要 访问 企业 网 资源 ,企业 相互 之 间 必 须 进 行 及 时 和 有 效 的 通 
信和 问题 。 


1. VPN 的 功能 


VPN 技术 同样 支持 企业 通过 Internet 等 公用 网 络 与 分 支 机 构 或 其 他 公司 建立 连接 , 进 
行 安全 通信 。 这 种 跨越 Internet 建立 的 VPN 连接 逻辑 上 等 同 于 两 地 之 间 使 用 广域网 建立 
的 连接 。 虽 然 VPN 通信 建立 在 公用 网 络 基础 上 ,但 是 用 户 在 使 用 VPN 时 感觉 如 同 在 使 用 
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专用 网 络 进行 通信 一 样 。 

VPN 使 用 经 过 身份 验证 的 链接 以 确保 只 有 授权 用 户 才 可 以 连接 到 网 络 , 而 且 可 使 用 加 
密 来 确保 其 他 人 无 法 截获 或 使 用 通过 Internet 传送 的 数据 。Windows XP 使 用 点 对 点 隧道 
协议 (PPTP) 或 第 二 层 隧 道 协议 (L2TP) 实现 安全 性 。 隧 道 协 议 是 一 项 使 Internet 上 从 
一 台 计 算 机 到 另 一 台 计 算 机 的 信息 传输 更 加 安全 的 技术 。 

一 般 来 说 ,企业 在 选用 一 种 远程 网 络 互联 方案 时 都 希望 能 够 对 访问 企业 资源 和 信息 的 
要 求 加 以 控制 。 所 选用 的 方案 应 当 既 能 够 实现 授权 用 户 与 企业 局 域 网 资源 的 自由 连接 和 不 
同 分 支 机 构 之 间 的 资源 共享 ,又 能 够 确保 企业 数据 在 公用 网 络 或 企业 内 部 网 络 上 传输 时 安 
全 性 不 受 破坏 。 因 此 ,一 个 成 功 的 VPN 方案 应 具有 以 下 方面 的 功能 。 

(1) 用 户 验 证 

VPN 方案 必须 能 够 验证 用 户 身份 并 严格 控制 只 有 授权 用 户 才能 访问 VPN。 另 外 , 方 
案 还 必须 能 够 提供 审计 和 计 费 功能 ,显示 何人 在 何 时 访问 了 何 种 信息 。 

(2) 地 址 管理 

VPN 方案 必须 能 够 为 用 户 分 配 专用 网 络 上 的 地 址 并 确保 地 址 的 安全 性 。 

(3) 数据 加 密 

对 通过 公用 网 络 传输 的 数据 进行 加 密 ,确保 网 络 其 他 未 授权 的 用 户 无 法 读 取 该 信息 。 

(4) 密 钥 管理 

VPN 方案 必须 能 够 生成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 

(5) 多 协议 支持 

VPN 方案 必须 支持 公用 网 络 上 普遍 使 用 的 基本 协议 。 以 PPTP 或 L2TP 协议 为 基础 
的 VPN 方案 既 能 够 满足 以 上 所 有 的 基本 要 求 ,又 能 充分 利用 遍及 世界 各 地 的 Internet 优 
势 。 其 他 方案 包括 IPSec, 虽 然 不 能 满足 上 述 全 部 要 求 , 但 是 仍然 适用 于 特定 的 环境 。 


2. VPN 的 特点 


一 般 情 况 下 ,一 个 高 效 、 可 靠 的 VPN 具备 了 以 下 特点 。 

(1) 费用 低 

由 于 使 用 Internet 进行 传输 相对 于 租用 专线 来 说 ,费用 低廉 ,所 以 VPN 的 出 现 使 企业 
通过 Internet 既 安全 又 经 济 地 传输 内 部 机 密 信息 成 为 可 能 。 

(2) 安全 保障 

虽然 实现 VPN 的 技术 和 方式 很 多 .但 这 均 应 保证 通过 公用 网 络 平台 传输 数据 的 专用 
性 和 安全 性 。 在 非 面向 连接 的 公用 IP 网 络 上 建立 一 个 逻辑 的 、 点 对 点 的 连接 , 称 之 为 建立 
一 个 隧道 。 可 以 利用 加 密 技术 对 经 过 隧道 传输 的 数据 进行 加 密 , 以 保证 数据 只 被 指定 的 发 
送 者 和 接收 者 了 解 , 从 而 保证 数据 的 机 密 性 和 安全 性 。 

(3) 保证 服务 质量 (QoS) 

VPN 应 当 为 企业 数据 提供 不 同等 级 的 服务 质量 保证 。 不 同 的 用 户 和 业务 对 保证 
QoS 的 要 求 差别 较 大 。 在 网 络 优化 方面 ,构建 VPN 的 另 一 重要 需求 是 充分 有 效 地 利用 
有 限 的 广域网 资源 ,为 重要 数据 提供 可 靠 的 带宽 。 广 域 网 流量 的 不 确定 性 使 其 带宽 的 利 
用 率 很 低 ,在 流量 高 峰 时 引起 网 络 阻塞 ,产生 网 络 瓶颈 ,使 实时 性 要 求 高 的 数据 得 不 到 及 
时 发 送 ; 在 流量 低谷 时 又 造成 大 量 的 网 络 带宽 空闲 。QoS 通过 流量 预测 与 流量 控制 策 
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略 , 可 以 按照 优先 级 分 配 带宽 资源 ,实现 带宽 管理 ,使 得 各 类 数据 能 够 被 合理 地 发 送 ,并 预 
防 阻 塞 的 发 生 。 

(4) 可 扩充 性 和 灵活 性 

VPN 能 够 支持 通过 Intranet 和 Extranet 的 任何 类 型 的 数据 流 ,方便 增加 新 的 节点 , 支 
持 多 种 类 型 的 传输 媒介 ,可 以 满足 同时 传输 语音 、 图 像 和 数据 等 新 应 用 对 高 质量 传输 以 及 带 
宽 增 加 的 需求 。 

(5) 可 管理 性 

在 VPN 管理 方面 ,VPN 要 求 企业 将 其 网 络 管理 功能 从 局 域 网 无 缝 地 延伸 到 公用 网 ,其 
至 是 客户 和 合作 伙伴 。 虽 然 可 以 将 一 些 次 要 的 网 络 管理 任务 交 给 服务 提供 商 去 完成 ,企业 
自己 仍 需 要 完成 许多 网 络 管理 任务 。 所 以 一 个 完善 的 VPN 管理 系统 是 必 不 可 少 的 。VPN 
管理 主要 包括 安全 管理 .设备 管理 ,配置 管理 ,访问 控制 列表 管理 和 QoS 管理 等 内 容 。 


3. VPN 的 连接 


VPN 支持 以 安全 的 方式 通过 公用 网 络 连 接 实现 远程 访问 企业 资源 。 

(1) 通过 Internet 实现 远程 访问 

VPN 支持 以 安全 的 方式 通过 公用 网 络 远程 访问 企业 资源 。 与 使 用 专线 拨打 长 途 或 市 
话 连接 企业 的 网 络 访问 服务 器 (networks access server,NAS) 不 同 ,VPN 用 户 首 先 拨 通 本 
地 ISP 的 NAS, 然 后 VPN 软件 利用 与 本 地 ISP 建立 的 连接 在 拨号 用 户 和 企业 VPN 服务 器 
之 间 创 建 一 个 跨越 Internet 或 其 他 公用 网 络 的 VPN。 

(2) 通过 Internet 实现 网 络 互 连 

可 以 采用 两 种 方式 使 用 VPN 连接 远程 局 域 网 络 : 一 种 是 使 用 专线 连接 分 支 机 构 和 企 
业 局 域 网 ; 另 一 种 是 使 用 拨号 线路 连接 分 支 机 构 和 企业 局 域 网 。 第 一 种 方式 不 需要 使 用 价 
格 昂贵 的 长 距离 专用 线路 ,分支 机 构 和 企业 端 路 由 器 可 以 使 用 各 自 本 地 的 专用 线路 通过 本 
地 的 ISP 连通 Internet,VPN 软件 使 用 与 本 地 ISP 建立 的 连接 在 分 支 机 构 和 企业 端 路 由 器 
之 间 创 建 一 个 VPN; 第 二 种 方式 是 分 支 机 构 端的 路 由 器 可 以 通过 拨号 方式 连接 本 地 ISP， 
VPN 软件 使 用 与 本 地 ISP 建立 的 连接 在 分 支 机 构 和 企业 端 路 由 器 之 间 创 建 一 个 跨越 
Internet 的 VPN 。 

(3) 连接 企业 内 部 网 络 计算 机 

在 企业 内 部 网 络 中 ,考虑 到 一 些 部 门 可 能 存储 有 重要 数据 ,可 以 采用 VPN 方案 来 确保 
数据 的 安全 性 。 通 过 使 用 一 台 VPN 服务 器 既 能 实现 与 整个 企业 网 络 的 连接 ,又 可 以 保证 
保密 数据 的 安全 性 。 路 由 器 虽然 也 能 实现 网 络 之 间 的 互 连 , 但 是 并 不 能 对 流向 敏感 网 络 的 
数据 进行 限制 。 而 企业 网 络 管理 人 员 通 过 使 用 VPN 服务 器 ,指定 只 有 符合 特定 身份 要 求 
的 用 户 才 能 连接 VPN 服务 器 获得 访问 敏感 信息 的 权利 。 此 外 ,可 以 对 所 有 VPN 数据 进行 
加 密 , 从 而 确保 数据 的 安全 性 。 

这 些 VPN 方案 使 用 各 种 形式 的 隧道 协议 来 实现 连接 。 隧 道 协议 先 将 网 络 数据 包 封 
装 、 加 密 , 然 后 通过 Internet 安全 地 进行 传送 。 在 封装 与 加 密 数据 包 的 过 程 中 ,隧道 协议 隐 
藏 每 个 将 要 通过 VPN 发 送 的 数据 包 的 源 与 目的 IP 地 址 。 

一 个 典型 远程 访问 VPN 的 组 成 如 图 7. 1 所 示 。VPN 服务 器 接受 来 自 VPN 客户 机 的 
连接 请 求 ,VPN 客户 机 可 以 是 终端 计算 机 ,也 可 以 是 路 由 器 。 隧 道 是 数据 传输 通道 ,在 其 中 
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传输 的 数据 必须 经 过 封装 。 在 VPN 连接 中 ,数据 必须 经 过 加 密 。 封 装 数据 、 管 理 隧道 的 通 
信 标 准 称 为 隧道 协议 。 数 据 经 过 封装 ,加 密 后 在 隧道 上 传输 。 公 用 网 络 可 以 是 Internet, 也 
可 以 是 其 他 共享 型 网 络 。 


公共 网 络 


| 人 VE 这 让 
Rs 


VPN 服 务 器 VPN 客 户 端 
图 7.1 典型 的 VPN 组 成 


4. VPN 关键 技术 


VPN 可 采用 多 种 安全 技术 来 保证 安全 。 这 些 安全 技术 主要 有 隧道 (tunneling) 技 术 、 加 
密 / 解 密 (encryption & decryption) 技术 、 密 钥 管 理 (key management) 技 术 、 身 份 认证 
(authentication) 技 术 和 访问 控制 (access control) 技 术 等 。 

(1) 隧道 技术 

隧道 技术 是 VPN 的 基本 技术 ,类 似 于 点 对 点 连接 技术 。 它 是 在 公用 网 上 建立 的 一 条 
数据 通道 (隧道 ) ,让 数据 包 通 过 这 条 隧道 传输 。 隧 道 是 由 隧道 协议 形成 的 ,常用 的 有 第 2 层 
和 第 3 层 隧道 协议 。 第 2 层 隧道 协议 先 把 各 种 网 络 协议 封装 到 PPP( 点 到 点 协议 ) 中 ,再 把 
整个 数据 包装 入 隧道 协议 中 。 这 种 双重 封装 方法 形成 的 数据 包 依靠 第 2 层 协议 进行 传输 。 
第 2 层 隧道 协议 有 L2F( 第 2 层 转 发 协议 )、 点 对 点 隧道 协议 (PPTP) 和 第 2 层 隧道 协议 
(L2TP) 等 。L2TP 协议 是 IETF 标准 ,由 IETF 融合 PPTP 与 L2F 而 形成 。 

第 3 层 隧 道 协 议 把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ,形成 的 数据 包 依 靠 第 3 层 协议 
进行 传输 。 第 3 层 隧道 协议 有 GRE、VTP 和 IPSec 等 。IPSec 由 一 组 RFC 文档 组 成 , 它 定 
义 了 一 个 系统 来 提供 安全 协议 选择 和 安全 算法 ,确定 服务 所 使 用 的 密 钥 ,从 而 在 IP 层 提供 
安全 保障 。 

(2) 加 密 /解密 技术 

加 密 /解密 技术 是 在 VPN 应 用 中 将 认证 信息 、 通 信 数 据 等 由 明文 转换 为 密 文 和 由 密 文 
变 为 明文 的 相关 技术 ,其 可 靠 性 主要 取决 于 加 密 /解密 的 算法 及 强度 ,这 部 分 内 容 在 第 4 章 
已 介绍 。 

(3) 密 钥 管理 技术 

密 钥 管理 技术 的 主要 任务 是 如 何在 公用 数据 网 上 安全 地 传递 密 钥 。 现 行 密 钥 管理 技术 
分 为 SKIP 和 ISAKMP/OAKLEY 两 种 。SKIP 协议 主要 是 利用 Diffie-Hellman 算法 法 则 ， 
在 网 络 中 传输 密 钥 ; 在 Internet 安全 连接 和 密 钥 管理 协议 (ISAKMP) 中 ,双方 都 有 两 个 密 
钥 , 分 别 用 于 公用 和 私 用 。 

(4) 身份 认证 技术 

在 正式 的 隧道 连接 开始 之 前 ,VPN 要 运用 身份 认证 技术 确认 使 用 者 和 设备 的 身份 ,以 
便 系 统 进一步 实施 资源 访问 控制 或 用 户 授 权 。 

(5) 访问 控制 技术 

访问 控制 技术 决定 允许 什么 人 (用 户 ) 可 访问 系统 ,允许 访问 系统 的 何 种 资源 以 及 如 何 
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使 用 这 些 资 源 等 。 访 问 控制 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 获取 数据 和 授权 用 户 的 
访问 资源 等 。 


7.1.2 VPN 的 安全 性 


VPN 是 一 种 扩展 公司 网 络 和 增加 网 络 用 户 功能 的 极 好 途径 。 许 多 网 络 管理 员 都 未 能 
意识 到 与 这 个 扩展 网 络 相关 的 许多 重要 的 安全 问题 。 由 于 允许 远程 用 户 进入 公司 网 络 的 核 
心 部 分 ,许多 限制 都 没有 了 ,因此 应 该 采取 一 些 措施 确保 远程 用 户 访问 网 络 时 不 会 出 现 安全 
漏洞 。 


1. 密码 与 安全 认证 


VPN 访问 的 核心 问题 是 围绕 密码 进行 的 。 在 受 控 的 网 络 环境 下 , 即 在 已 经 采取 必要 的 
防范 来 阻止 外 部 入 侵 者 以 及 非 授 权 用 户 访 问 网 络 的 情况 下 ,密码 便 是 一 种 充分 的 验证 形式 。 
但 是 ,密码 存在 着 容易 记忆 、 可 破译 、 易 被 窍 等 问题 ,尤其 在 远程 访问 的 情况 下 。 因 此 , 仅 靠 
密码 并 不 能 为 IP VPN 提供 足够 的 安全 性 。 更 好 的 一 种 解决 方法 是 要 求 至 少 有 一 种 其 他 形 
式 的 验证 与 密码 验证 联合 使 用 ,这 就 是 所 谓 的 双 因 素 验证 。 例 如 ,公司 可 能 在 要 求 密码 验证 
的 同时 ,要 求 有 数字 证 书 。 如 果 不 是 两 个 级 别 的 验证 都 符合 要 求 ,NAS 将 拒绝 验证 。 双 因 
素 验 证 极 大 地 提高 了 VPN 的 安全 性 ,但 它 一 般 要 求 网 络 中 要 增加 额外 的 基础 设施 。 证 书 
验证 需要 有 一 个 证 书 服务 器 来 匹配 公 钥 与 私 钥 。 

智能 卡 是 一 种 现在 越 来 越 流行 的 验证 形式 。 现 在 公司 可 能 已 经 拥有 一 些 不 同形 式 的 智 
能 卡 标记 系统 允许 员工 登录 进入 公司 总 部 ,也 可 使 用 这 些 智 能 卡 标记 作为 一 种 远程 验证 形 
式 。 只 依靠 智能 卡 并 不 是 非常 安全 的 , 当 它们 与 密码 或 数字 证 书 结合 在 一 起 时 , 便 又 增加 一 
层 安全 保障 。 

生物 验证 是 另 一 种 验证 形式 。 先 将 可 用 的 设备 插入 到 用 户 的 机 器 中 ,然后 公司 可 以 根 
据 指纹 或 视网膜 等 识别 技术 来 进行 验证 。 

还 有 一 些 专门 的 验证 方法 ,如 RSA 有 一 个 SecurID 产品 , 它 是 一 种 硬件 令 牌 ,这 个 令 牌 
与 RSA 服务 器 在 时 间 上 是 同步 的 。 基 于 这 种 同步 ,这 个 令 牌 每 60 秒 生成 一 个 新 的 随机 数 。 
当 用 户 登 录 网 络 时 ,必须 使 用 密码 及 SecurID 令 牌 上 的 生成 数 进行 验证 。 如 果 用 户 名 、 密 码 
和 该 生成 数 匹 配 ,用 户 便 被 验证 通过 并 允许 访问 。 


2. 扩展 安全 策略 


如 果 公 司 网 络 允 许 远程 用 户 访问 , 则 要 对 远程 用 户 应 用 安全 策略 。 如 果 公司 采用 一 些 
操作 系统 标准 ,那么 也 要 求 远 程 用 户 必须 采用 这 些 标 准 ; 如 果 公 司 用 户 必 须 运 行 最 新 的 病 
毒 扫 描 软 件 , 那 么 远程 用 户 也 必须 能 运行 这 些 软 件 。 也 就 是 说 ,必须 要 求 远程 用 户 遵循 与 本 
地 用 户 同样 的 安全 标准 (策略 ) 。 

一 些 公司 为 了 执行 这 一 策略 ,为 用 户 配 发 了 家 庭 和 办 公 室 都 能 使 用 的 笔记 本 电脑 。 这 
样 即 可 使 该 电脑 用 户 作为 本 地 用 户 ( 内 部 网 络 用 户 在 办 公 室 使 用 ) 和 远程 用 户 ( 在 家 里 
使 用 ) 。 

设备 安全 性 只 是 公司 安全 策略 的 一 个 方面 。 除 此 之 外 ,还 要 遵循 如 下 一 些 安全 措施 。 

@ 当 用 户 使 用 完 VPN 或 短 时 间 要 离开 电脑 前 时 ,必须 注销 VPN。 
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@ 密码 永远 也 不 能 共享 。 
@ 公司 的 E-mail 账户 不 能 作为 个 人 E-mail 来 使 用 。 


3. 日 志 记 录 VPN 连接 


与 任何 远程 连接 一 样 ,所 有 通过 NAS 进入 的 连接 都 必须 有 日 志 记 录 。 如 果 出 现 安全 
问题 ,网 络 管理 员 可 通过 检查 这 些 日 志 记录 来 确定 连接 初始 点 、 时 间 和 日 期 ,查找 事故 原因 。 
日 志 中 除了 记录 网 络 登录 外 ,还 要 尽 可 能 多 地 记录 会 话 信息 。 如 果 出 现 安全 事故 ,可 用 的 信 
息 越 多 ,网 络 管理 员 能 跟踪 并 查找 故障 源 的 可 能 性 就 越 大 。 更 重要 的 是 ,如 果 网 络 中 正在 运 
行 预防 监控 , 则 在 日 志文 件 中 出 现 的 任何 异常 ,都 能 被 很 快 发 现 ; 并 且 可 能 在 问题 发 生前 ， 
阻止 攻击 者 。 


(3 网 络 中 VPN 的 连接 


VPN 有 很 多 端 接 设 备 ,这 些 设 备 与 VPN 端 接点 主要 有 路 由 器 .防火墙 和 专用 VPN 
设备 。 


7.2.1 路 由 器 端 接 VPN 


对 企业 网 络 来 说 ,由 路 由 器 端 接 VPN 并 不 常见 。 主 要 原因 是 路 由 器 上 有 复杂 的 日 志 
程序 ,并 依靠 外 部 日 志 资 源 来 记录 信息 ,再 加 上 加 密 和 解密 VPN 信息 ,因而 带 来 较 大 的 负 
担 , 可 能 造成 路 由 器 负荷 很 重 。Cisco 已 为 2600 系列 路 由 器 引进 VPN 模块 。 带 有 VPN 模 
块 的 2600 路 由 器 一 般 用 来 端 接 T1(1. 544Mb/s 标准 ), 它 要 求 至 少 128MB 的 随机 存 取 
内 存 。 

路 由 器 端 接 VPN 模式 要 求 路 由 器 来 处 理 好 VPN 的 端 接 ,包括 加 密 和 解密 连接 。 

如 图 7. 2 所 示 ,VPN 在 边缘 路 由 器 上 端 接 。 先 建立 VPN 连接 到 路 由 器 ,再 由 路 由 器 将 
请 求 转送 到 NAS。 最 后 ,NAS 验证 允许 访问 网 络 的 用 户 ,并 且 授 权 用 户 访问 网 络 。 


CN 路 由 器 /VPN 喘 接 


A Vo 9— C22 
VPN 客 户 端 


图 7.2 路 由 器 端 接 VPN 


对 那些 不 想 使 用 VPN 客户 机 程序 的 小 型 网 络 或 家 庭 用 户 而 言 , 路 由 器 端 接 VPN 是 很 
方便 的 ,但 对 企业 网 络 而 言 ,路 由 器 端 接 VPN 通常 并 不 方便 。 
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7.2.2 防火 墙 端 接 VPN 


目前 ,防火 墙 端 接 VPN 模式 是 很 流行 的 。Cisco PIX、Check Point 和 NetScreen 都 有 
产品 允许 防火 墙 成 为 VPN 端 接 设 备 。 

防火 墙 和 VPN 的 组 合 是 很 有 意义 的 。 防火墙 已 经 记录 了 大 多 数 的 网 络 连接 ,再 加 上 
一 些 额 外 的 VPN 连接 记录 不 会 增加 特别 大 的 负担 , 且 防 火 墙 也 是 网 络 入 口 点 ,所 以 由 防火 
墙 端 接 VPN 意味 着 用 户 能 够 访问 网 络 而 不 必 开 放 防 火 墙 规则 集中 额外 的 漏洞 。 防 火 墙 端 
接 可 为 网 络 管理 员 提供 更 多 的 控制 权 。 

防火 墙 端 接 VPN 和 路 由 器 端 接 VPN 的 操作 大 致 相同 。 用 户 连 接 防火 墙 , 防 火 墙 向 
NAS 服务 器 转发 验证 。NAS 服务 器 验证 用 户 , 并 且 防 火 墙 授权 用 户 访问 网 络 。 如 图 7. 3 
所 示 , 从 用 户 到 公司 网 络 的 VPN 被 端 接 在 防火 墙 上 ,防火 墙 收 到 验证 请 求 并 将 它 转送 到 处 
理 实际 验证 过 程 的 NAS 服务 器 。 


公共 网 络 路 由 器 
@ VPN 隧 道 9 


VPN 客 户 端 防火 墙 /VPN 端 接 


图 7.3 防火 墙 端 接 VPN 


防火 墙 端 接 VPN 和 路 由 器 端 接 VPN 连接 有 一 个 共同 的 缺点 ,就 是 VPN 的 加 密 /解密 
处 理 占用 大 量 的 系统 资源 。 已 经 有 负荷 的 防火 墙 ,特别 是 带 有 活动 DMZ 的 防火 增 , 很 多 同 
时 运行 的 VPN 隧道 可 能 会 崩溃 。 

防火 墙 端 接 VPN 方案 适合 于 企业 组 织 ,用 于 密切 监控 信息 流量 以 确保 带 有 VPN 隧道 
的 防火 墙 没有 超 负 荷 。 


7.2.3 专用 设备 端 接 VPN 


一 些 公 司 更 青睐 使 用 专用 VPN 设备 端 接 VPN。Cisco、AppGate、 Lucent 和 Check 
Point 等 公司 都 开发 出 专用 的 VPN 设备 或 在 专用 VPN 上 能 运行 的 软件 。 

专用 设备 端 接 VPN 的 主要 优点 是 减轻 了 路 由 器 和 防火 墙 管理 VPN 的 负担 。 可 由 专 
用 设备 来 处 理 加 密 和 解密 ,即使 由 于 过 多 的 连接 而 导致 它 过 载 ,也 不 会 影响 到 网 络 的 其 他 
部 分 。 

专用 设备 端 接 VPN 在 VPN 处 理 过 程 中 可 创建 另 一 层 安 全 防护 。 它 们 端 接 在 网 络 内 
部 ,管理 员 会 有 更 大 的 控制 权 。 这 样 就 没有 在 路 由 器 或 防火 墙 上 端 接 隧道 那样 的 风险 。 在 
网 络 内 部 端 接 使 网 络 管理 员 可 以 限定 到 网 络 某 些 部 分 的 流量 ,这 样 即使 VPN 被 攻破 , 它 也 
可 以 阻止 攻击 者 的 破坏 。 
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图 7.4 描述 端 接 VPN 到 专用 设备 的 过 程 , VPN 通过 专用 设备 进行 端 接 。 用 户 可 向 专 
用 设备 请 求 验证 ,利用 设备 在 网 络 中 的 位 置 ,可 限制 验证 后 的 用 户 到 确定 区 域 。VPN 设备 
也 能 处 理 验 证 过 程 ,或 向 NAS 转发 请 求 。 如 果 用 户 被 验证 成 功 ,用 户 就 有 访问 网 络 的 权 


限 了 。 
SQ € VPN 隆 着 9 
VPN 客 户 路 SS 


vs 加 二 Ey 


7.4 专用 设备 端 接 VPN 


尽管 专用 设备 端 接 VPN 有 很 多 优点 ,但 由 于 专用 设备 是 额外 的 网 络 设备 ,需要 对 它 进 
行 管理 和 监控 ,以 便 软件 升级 和 防止 潜在 的 安全 漏洞 。 专 用 VPN 设备 也 存在 安全 漏洞 ,如 
果 这 些 漏洞 被 利用 ,攻击 者 便 可 以 访问 整个 网 络 了 ,因此 也 要 关注 这 些 漏洞 的 安全 问题 。 

专用 VPN 设备 也 会 在 公司 防火 墙 中 产生 额外 的 漏洞 ,因此 必须 打开 一 些 端口 来 允许 
PPTP 或 L2TP 隧道 通过 防火 墙 进入 到 网 络 。 尽 管 这 并 没有 引起 较 大 的 安全 问题 ,但 应 该 
注意 通过 防火 墙 的 网 络 流量 。 
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7.3.1 DSL 与 VPN 的 连接 


VPN 是 通过 在 Internet 或 其 他 公用 网 络 上 建立 的 “隧道 ”来 执行 操作 的 ,并 可 提供 与 专 
用 网 络 相同 的 安全 性 和 功能 。 使 用 Internet, 用 户 可 从 世界 上 大 多 数 地 方 通过 拨打 当地 的 
Internet 访问 电话 连接 到 企业 的 办 公 室 。 如 果 用 户 的 计算 机 和 办 公 室 具有 高 速 Internet 连 
接 ,那么 就 能 以 最 快 的 速度 与 办 公 室 通信 。 

一 般 情况 下 ,企业 网 络 及 其 客户 都 喜欢 使 用 DSL( 数 字 用 户 线 ) 技 术 连 接 Internet。 
此 ,企业 在 建立 VPN 前 ,要 配置 好 客户 端的 上 网 环境 ,如 将 企业 局 域 网 共享 一 个 ADSL 连 
接 即 可 连接 上 Internet。 这 样 ,利用 DSL 技术 实现 远程 管理 , 比 任何 使 用 模拟 调制 解 调 器 的 
拨号 连接 都 迅速 得 多 ,并 可 为 企业 节省 很 多 资源 。 例 如 ,运行 在 一 条 双 绞 线 上 的 对 称 式 
DSL(SDSL) 可 以 提供 与 T1 线路 相同 的 带宽 ,而 价格 只 有 T1 线路 的 一 半 。 

在 利用 DSL 建立 VPN 之 前 ,用 户 必须 确认 其 DSL 服务 提供 商 是 否 支 持 DSL 本 地 环 
路 上 的 多 虚拟 电路 ,是 否 支 持 多 服务 类 型 (如 CBR、VBR 和 UBR)。 在 可 以 使 用 多 服务 类 型 
的 情况 下 ,语音 虚拟 电路 可 以 被 配置 为 CBR 或 VBR 实时 连接 ,这 两 类 连接 具有 有 限 的 信 元 
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丢弃 和 时 延 ,从 而 可 保证 语音 质量 。 

DSL 和 VPN 看 上 去 像 是 两 个 完全 不 相关 的 概念 ,DSL 是 一 种 局 部 环 技术 ,VPN 是 关 
于 端 到 端的 虚拟 专用 网 络 。 但 事实 上 它们 有 着 许多 可 融合 之 处 ,无 论 从 网 络 的 安全 性 、 设 备 
价格 ,还 是 从 网 络 的 速度 上 考虑 ,两 者 的 结合 都 能 够 带 来 很 多 好 处 。 

通过 VPN 和 DSL 的 结合 (基于 DSL 的 VPN 一 VPN over DSL) ,可 为 用 户 提供 一 个 快 
速 访问 企业 网 络 资源 的 途径 ,这 要 比 使 用 调制 解 调 器 快 得 多 。VPN 和 DSL 的 融合 可 为 用 
户 提供 一 种 高 速 的 ,安全 的 和 可 管理 的 服务 。 尽 管 目前 DSL 设备 中 还 没有 提供 对 VPN 的 
硬件 支持 ,但 是 可 以 在 DSL 上 使 用 基于 软件 的 VPN 对 企业 内 部 网 (Intranet) 进 行 访问 。 

VPN over DSL 的 出 现 并 非 一 帆 风 顺 , 有 些 人 认为 没有 必要 在 DSL 上 支持 VPN。 他 们 
觉得 DSL 已 经 比 传统 的 拨号 系统 要 安全 得 多 。 一 个 DSL 线路 是 一 个 固定 的 连接 ,所 以 IT 
管理 人 员 就 已 经 能 知道 通过 DSL 进入 企业 网 的 每 个 呼叫 是 来 自 哪 一 个 人 或 哪 一 个 地 方 。 
另 一 个 方面 ,任何 拥有 调制 解 调 器 和 企业 网 远程 访问 拨号 的 人 都 能 够 拨号 进入 企业 网 ,IT 管 
理 人 员 却 无 法 追查 。 但 是 ,在 DSL 上 支持 VPN 对 于 安全 性 所 产生 的 好 处 却 是 毋庸 置疑 的 。 

有 些 VPN 开发 商 已 将 VPN 技术 应 用 于 其 他 的 通信 系统 中 ,如 V-one 公司 已 将 VPN 
技术 扩展 到 双向 寻呼机 系统 ,ADI 公司 使 用 VPN 可 将 医疗 图 像 安全 地 传送 到 医生 家 中 。 
因此 ,就 目前 的 技术 而 言 ,VPN 和 DSL 的 结合 是 可 能 的 。 如 果 DSL 的 生产 商 在 他 们 的 硬 
件 设备 中 支持 VPN 将 可 能 使 许多 事情 变 得 很 简单 。 可 以 想象 ,在 不 久 的 将 来 DSL 设备 的 
生产 商会 像 路 由 器 的 生产 商 一 样 在 DSL 设备 中 硬件 支持 加 密 体系 和 IPSec 标准 。 

但 是 对 于 大 多 数 的 IT 管理 人 员 而 言 ,他 们 更 喜欢 自己 来 配置 VPN over DSL ,而 不 是 
等 待 出 现 支 持 VPN 的 DSL 设备 。 对 于 大 多 数 IT 管理 人 员 来 说 ,使 用 基于 软件 的 VPN 
over DSL 还 是 一 个 相当 不 错 的 选择 。 另 外 ,对 于 大 型 办 公 室 而 言 , 很 多 公司 在 局 域 网 端 路 
由 器 上 已 经 使 用 了 专门 用 于 VPN 的 处 理 器 。 这 些 设 备 提供 了 VPN 安全 性 问题 解决 方案 
和 其 他 的 一 些 功 能 ,如 流量 控制 管理 等 。 从 这 个 意义 上 说 ,公司 也 就 没有 必要 在 DSL 设备 
上 重复 VPN 的 一 些 特性 了 。 


7.3.2 Windows 系统 中 的 VPN 配置 实践 


本 节 主 要 介绍 在 Windows 2003 环境 下 虚拟 专用 网 的 构建 及 实现 VPN 服务 器 和 客户 
机 的 具体 配置 过 程 。VPN 连接 可 以 通过 Internet 提供 远程 访问 和 到 专用 网 络 的 路 由 选择 
连接 。 通 过 建立 的 VPN 连接 ,使 用 自动 安装 在 计算 机 上 的 点 对 点 隧道 协议 PPTP 或 第 2 
层 隧道 协议 L2TP, 就 可 以 经 由 Internet 或 其 他 网 络 连接 到 Windows 2003 远程 访问 服务 器 
( 即 VPN 服务 器 ) 来 安全 地 访问 网 络 资源 。 

图 7.5 为 用 户 直接 连接 到 Internet 并 建立 VPN 连接 的 示意 图 。 在 图 中 可 见 用 户主 机 
(客户 机 ) 直 接连 接 到 Internet, 并 通过 Internet 连接 到 远程 访问 服务 器 上 。Windows 2003 
系统 VPN 服务 器 也 称 为 远程 访问 服务 器 。VPN 服务 器 必须 具有 一 个 公有 IP 地 址 ,以 便 使 
Internet 上 的 主机 访问 VPN 服务 器 或 使 VPN 客户 机 通过 Internet 访问 VPN 服务 器 。 
VPN 服务 器 一 般 具 有 双 网 卡 ,分 别 连 接 到 Internet 和 内 部 局 域 网 络 。 


1. VPN 服务 器 的 安装 


现在 以 基于 Windows 2003 系统 为 例 建 立 VPN 服务 器 。 有 具体 配置 过 程 如 下 : 
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Ne 


图 7.5 用 户 直接 连接 到 Internet 并 建立 VPN 连接 
第 1 步 : 选择 “开始 "~" 程序”>“ 管 理工 具 ” 菜 单 , 单 击 “ 路 由 和 远程 访问 ”命令 ,在 列 出 
的 本 地 服务 器 (OWNER-4T1BSHEEX) 上 右 击 ,选择 “配置 并 启用 路 由 和 远程 访问 ”选项 ,如 


图 7.6 所 示 。 


文件 到 操作 必 ) 查看 帮助 人 D 


+ 小 | 名 | 四 | XX 办 日 | 名 四 


| 欢迎 使 用 路 由 和 远程 访问 
路 由 和 运程 访问 提供 到 专用 网 络 的 安全 远程 访问 ， 
区 用 路 由 和 远程 访问 来 配置 下 列 : 
列 … 两 个 专用 网 络 之 间 的 安全 连接 。 
“ 虚拟 专用 网 络 (VPIND 网 关 。 
， 拨 号 远程 访问 服务 器 。 
”网 络 地 址 转换 (NAT) 。 


图 7.6 启用 路 由 和 远程 访问 


第 2 步 : 打开 “路 由 和 远程 访问 安装 向 导 ” 窗 口 , 跳 过 欢迎 界面 , 单 击 “ 下 一 步 ”按钮 , 弹 
出 如 图 7.7 所 示 的 窗口 。 在 此 ,假设 服务 器 是 公用 网 络 上 的 一 般 服务 器 ,不 是 具有 路 由 功能 
的 服务 器 ,安装 有 单 网 卡 。 所 以 这 里 选择 * 自 定义 配置 "选项 , 单 击 " 下 一 步 ?按钮 。 


路 由 和 远程 访问 服务 器 安装 向 导 


配置 
您 可 以 局 用 下 列 服 务 的 任意 组 合 ， 或 者 您 可 以 自 定义 此 服务 器 。 


个 远程 访问 路 号 或 VPN) @) 
或 安全 的 虚拟 考 用 网 络 (VPH) Internet 连接 来 连接 到 


三 网 当地 址 转换 QIAT) 是 ) 
净 许 内 部 客户 端 使 用 一 个 公共 IP 地 址 连接 到 Internet。 


个 虚拟 专用 网 络 WEI 访问 和 NAT GD 
天 + 连接 到 此 服务 器 ， 本 地 客户 彤 使用 一 个 单 的 


Interne 
亚 Internet. 
个 两 个 专用 网 络 之 间 的 安全 连接 GE) 
将 此 网 络 连 接 到 一 个 远程 网 络 ， 例 如 一 个 分 支 办 公 室 。 
问 中 的 任何 可 用 功能 的 蛤 合 。 
有 关 这 些 选 项 的 更 多 信息 ， 请 参阅 路 由 和 运程 访问 帮助 。 


| 
图 7.7 “路 由 和 远程 访问 服务 器 安装 向 导 ” 窗 口 
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第 3 步 : 在 弹出 的 如 图 7.8 所 示 的 窗口 中 选择 VPN 访问 ”选项 , 单 击 “下 一 步 ” 按 钮 ， 
配置 向 导 完 成 ,如 图 7.9 所 示 。 


路 由 和 运程 访问 服务 器 安装 向 导 二 


自 定义 配 轩 

关闭 此 向 导 后 修 可 以 在 路 由 和 运程 访问 近 制 台中 配置 择 的 服务 。 Dm 
沈 反 个 想 在 此 服务 器 上 局 用 的 妥 务 

Vv Mr 

厂 拔 S 访 问 四 


厂 请 求 拔 号 连接 (由 分 支 办 公 室 路 由 使 用 ) EE) 
厂 BAT 和 基本 防火 墙 A) 
厂 MF 路 由 册 


《上 一 步 @) 取消 


图 7.8 选择 自 定义 配置 服务 


正在 完成 路 由 和 远程 访问 服务 器 安装 向 导 


您 已 成 功 充 成 路 由 和 远程 访问 服务 器 安装 向 导 . 


园 择 摘要 
Mw 访 癌 习 


到 

在 “路 由 和 远程 访问 ”控制 台中 

Es 

WAN 路 由 和 运程 访问 服务 现在 已 被 灾 装 。 要 开始 服务 吗 ? 
—#w | 

《上 一 步 四 | 。 完成 取消 


图 7.9 开始 路 由 和 远程 访问 服务 


第 4 步 : 在 图 7.9 中 的 提示 “路 由 和 远程 访问 服务 现在 已 被 安装 。 要 开始 服务 吗 ?” 下 
单 击 “ 是 ”按钮 ,VPN 开始 服务 。 


2. VPN 服务 器 的 配置 


启动 VPN 服务 后 ,出 现 如 图 7. 10 所 示 “ 路 由 和 远程 访问 ”界面 ,可 在 此 界面 下 进行 


VPN 服务 器 的 配置 。 


路 由 和 运程 访问 
文件 四 ”操作 W。 查看 呈 。 帮助 四 
中 | 生 | 国 |X 轿 日 | 包 国 


路 由 和 远程 访问 
远程 访问 客 尸 ”禁用 路 由 和 运程 访问 G) 远程 访问 服务 器 安装 向 导 过 
热 后 在 “操作 ”菜单 上 单 导 


身 剖 ?路 由 沈 皖 。 疡 有 任务 8 一 S| bb 
由 区 远程 沪 问 第 i 问 ， 部 署 方案 ， 以 及 竹 难 钙 
田 加 远程 访 间 记录 一 | 

MB 加 ) 

刷新 中 

属性 @B) 


帮助 0 


图 7.10 进入 路 由 和 远程 访问 界面 


第 1 步 : 在 图 7. 10 中 右 击 服务 器 (OWNER-4T1BSHEEX) ,选择 “属性 "菜单 ,弹出 如 

图 7.11 所 示 的 “OWNER-4T1BSHEEX( 本 地 ) 属 性 ”窗口 。 选 择 启 用 此 计算 机 作为 “路 由 
器” 或 “远程 访问 服务 器 " 复 选项 。 

理 

关 


常规 |2 lm lz |B 老 | 
路 由 和 运 得 访问 


局 用 此 计算 机 作为 - 


P 

个 仅 用 于 局 域 同 (LND 路 由 选择 () 

人 用 于 局 域 网 和 请 求 拔 呈 路 由 途 择 0) 
厅 远程 访问 服务 器 到) 


7.11 VPN 服务 器 属性 窗口 


第 2 步 : 在 该 “属性 ”窗口 中 选择 “IP” 选 项 卡 ,如 图 7. 12 所 示 , 勾 选 “ 启 用 IP 路 由 ”和 
“允许 基于 IP 的 远程 访问 和 请 求 拨 号 连接 ”选项 。 在 “IP 地 址 指派 ”中 选择 “静态 地 址 池 ”， 
设置 IP 地 址 范围 。 单 击 “ 添 加 ”按钮 ,在 弹出 的 “新 建 地 址 范围 ”窗口 中 输入 起 始 IP 地 址 和 
结束 IP 地 址 ,这 样 就 设置 了 一 个 IP 地 址 范围 。 


| 
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到 | 


图 7.12 IP 地 址 范围 设置 
第 3 步 : 单 击 “ 确 定 ” 按 钮 ,弹出 如 图 7. 13 所 示 窗 口 ,再 单 击 “ 确 定 ” 按 钮 , 即 完 成 IP 地 
址 设置 。 


OYEER-4TIBSHEEY (本 地 ) 尾 性 


图 7.13 完成 卫 地 址 设置 


至 此 ,完成 了 VPN 服务 器 部 分 的 配置 。 

这 里 的 IP 地 址 范围 就 是 VPN 局 域 网 内 部 的 虚拟 IP 地 址 范围 ,每 个 拨 入 到 VPN 服务 
器 的 用 户 都 会 分 配 到 该 范围 内 的 一 个 IP 地 址 。 用 户 可 在 虚拟 局 域 网 中 用 各 自分 得 的 IP 地 
址 相互 访问 。 本 例 中 设置 的 了 P 地 址 范围 为 202. 108. 42. 64 一 202. 108. 42. 73, 共 10 个 了 P 了 地 
址 。 默 认 的 VPN 服务 器 占用 第 一 个 IP。 所 以 ,202. 108. 42. 64 实际 上 就 是 这 个 VPN 服务 
器 在 虚拟 局 域 网 的 耻 地址 。 
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3. 添加 VPN 用 户 并 赋予 用 户 拨 入 权限 


每 个 要 拨 入 VPN 服务 器 的 客户 端 都 需要 有 一 个 账号 。 要 给 每 个 需要 拨 和 人 到 VPN 的 
客户 端 设 置 一 个 用 户 ,并 为 这 个 用 户 制定 一 个 固定 的 内 部 虚拟 IP 地 址 ,以 便 客户 端 之 间 相 
互 访 问 。 默 认 情况 下 所 有 用 户 均 被 拒绝 拨 入 到 VPN 服务 器 上 ,因此 VPN 服务 器 的 配置 过 
程 结束 后 需要 添加 用 户 ,并 为 相应 用 户 赋予 拨 入 权限 。 

在 VPN 服务 器 上 ,利用 “管理 工具 ”中 的 “计算 机 管理 "里 添加 用 户 , 这 里 以 添加 一 个 
“ysliu” 用 户 为 例 ,过 程 如 下 : 

第 1 步 : 选择 “开始 "~" 程序” 一 “管理 工具 ”菜单 , 单 击 “ 计 算 机 管理 ”命令 ,打开 其 控 
制 台 。 

第 2 步 : 选择 “系统 工具 ”>“ 本 地 用 户 和 组 ”菜单 , 单 击 “ 用 户 ” 命 令 , 则 可 以 看 到 所 有 的 
本 地 用 户 ,如 图 7.14 所 示 。 


县 计算 机 管理 =I9lx| 

蜡 文件 四 ”操作 WA) 查看 WW) 窗口 和) 帮助 0 | = 四 革 
咎 小 | 和 | 加 XX 办 区 | 名 团 

计算 机 管理 本 地 ) [区 ”| 人 | 其 

[Adninistr， 管理 计算 机 ( 域 ) 的 有 

殿 来 宾 访问 计算 机 5 

Internet 来 宾 账 户 匿名 访问 Internet 

局 动 TS 进程 账户 用 于 启动 进程 外 应 


users 


系统 管理 员 
CN=Wi erosoft Corpora  。 这 是 一 个 帮助 和 支 


图 7.14 本 地 当前 用 户 显 示 


第 3 步 : 右 击 "用户" 命令 ,选择 “新 用 户 ” 来 新 建 一 个 用 户 。 用 户 名 可 以 取 为 ysliu, 并 选 
择 和 确认 密码 (从 安全 角度 考虑 ,用 户 名 和 密码 要 设置 得 复杂 些 ), 如 图 7.15 所 示 , 并 将 “用 
户 下 次 登录 时 必须 更 改 密码 ”前 的 选项 去 掉 。 单 击 “ 创 建 "按钮 , 即 创建 完 一 个 用 户 。 如 果 还 
想 创建 其 他 用 户 ,重复 以 上 过 程 即 可 。 

第 4 步 : 创建 好 ysliu 用 户 后 ,在 “计算 机 | gw pw 
管理 ”控制 台 的 用 户 栏 即 可 看 到 该 用 户 ,如 | sw ba 
图 7.16 所 示 。 撕 述 如 壮 虽 用 户 

第 5 步 : 右 击 用 户 名 ysliu, 选 择 “ 属 性 ” 菜 
单 , 弹 出 如 图 7. 17 所 示 新 用 户 属性 窗口 。 在 
“ysliu 属性 ”窗口 单 击 “ 确 定 ” 按 钮 , 弹出 如 
图 7. 18 所 示 窗 口 。 

第 6 步 : 打开 图 7.18 中 的 “ 拨 入 ”选项 卡 ,在 
“选择 访问 权限 ( 拨 入 或 VPN)” 选 项 组 下 选中 
“允许 访问 ”( 人 允许 这 个 用 户 通过 VPN 拨 入 服务 
器 )。 单 击 “ 分 配 静 态 卫 地 址 ?选项 ,并 设置 一 个 图 7.15 新 建 用 户 信息 输入 


口 账户 已 停 用 @B) 
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生机 泡 理 3aly 
弄 文件 四 操作 人 ) 查看 WD) 窗口 加” 帮助 中 | = 可 | 芭 
3 FE 
ET 
从 来 宾 访 问 计算 机 
Internet 来 宾 帐户 匿名 访问 Internet 
启动 TIS 进 各 帐户 用 于 启动 进 程 外 
系统 答 理 员 
i 这 是 一 个 帮助 和 妇 
1 
到 
| [ 
7.16 显示 本 地 新 用 户 
2 ”PEECTC3 记忆 
运 得 扫 币 |。 过 服务 了 村 文件 ， | 。 执 入 钢 。| 来 居于 | 配置 交 件 | 环 培 | 话 | 
| 于 | | | a 执 入 
Ls 运程 访 权限 里 入 或 YPID 
CC Hw 
个 拒 络 访 问 @) 
全 名 四 PR 通过 运程 访问 第 路 控制 访问 PE) 
EET PERF End ID WD): | 
加 所 项 
厂 用 户 下 次 登录 时 须 更 2 密码 员 a 
厂 用 户 不 能 更 改 密码 避 ) 玉 由 本 叫 方 设置 [了 路 由 和 远程 访问 服务 ) G) 
厂 密码 水 不 过 期 BE) A 
厂 账户 已 树 用 凶 “一 
厂 帐户 已 顶 定 站 ) 灰分 配 各 者 I? 地 址 (@) 202 .108 .42 ,时 
厂 应 用 况 者 路 由 8) = = 
| 为 此 热 入 连 接 定 义 要 启用 的 路 由 。 天 二 生机 


取消 应 用 而 
图 7.17 新 用 户 属性 (1) 


mW | mu | 
图 7.18 新 用 户 属性 (2) 


VPN 服务 器 中 静态 耳 池 范围 内 的 一 个 人 P 地 址 作为 该 用 户 的 他 ,这 里 设 为 202. 108. 42. 69。 
第 7 步 : 单 击 “ 确 定 ” 按 钮 ,返回 “计算 机 管理 ”控制 台 。 
至 此 , 即 结 束 了 创建 新 用 户 和 赋予 新 用 户 拨 入 权限 的 工作 。 


如 果 有 多 个 客户 端 机 器 要 接 入 VPN, 则 可 按 上 述 步 又 为 每 个 客户 端 都 新 建 一 个 


用 户 ， 


并 设 定 一 个 虚拟 IP 地 址 ,各 个 客户 端 都 使 用 分 配给 自己 的 用 户 拨号 VPN ,这样 各 客户 端 每 
次 氢 入 VPN 后 都 会 得 到 相同 的 IP。 如 果 用 户 没 设置 为 “分 配 静 态 IP 地 址 ”, 客 户 端 每 次 拨 
入 到 VPN ,VPN 服务 器 会 随机 给 这 个 客户 端 分 配 一 个 范围 内 的 IP。 


4. VPN 客户 端的 设置 与 连接 


VPN 客户 端 可 以 基于 Windows XP 系统 ,也 可 以 基于 Windows 2003 系统 ,在 此 以 
Windows XP 系统 为 例 ( 该 客户 端 计 算 机 可 通过 ADSL 技术 拨号 上 网 ) 进 行 设置 。 
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第 1 步 : 在 客户 机 上 依次 选择 “开始 ”>“ 设 置 ”>“ 控 制 面板 ”菜单 ,打开 “网 络 连 接 ” 对 
话 框 , 单 击 “ 创 建 一 个 新 的 连接 ”选项 ,在 “新 建 连接 向 导 ” 中 选择 “连接 到 我 的 工作 场所 的 网 
络 ? 选 项 ,如 图 7. 19 所 示 。 


网 络 连 接 类 型 
您 起 做 什么 ? ) 


口 连 接 到 Internet (C) 
连接 到 Internet ,这 样 修 就 可 以 浏览 Yeb 或 阅读 电子 邮件 . 


日 连 报到 我 的 工作 场所 的 网络 (0》 
个 商业 网络 (使 用 拨号 或 YFW) ,这 样 必 就 可 以 在 家 里 或 者 其 它 地 


办 公 。 
口 设置 家 庭 或 小 型 办 公 网 络 G) 
连接 到 一 个 现 有 的 家 庭 或 小 型 办 公 网 络 ， 或 者 设置 一 个 新 的 。 


人 〇 设置 高 统 连 接 下 ) 
用 并 口 ， 串 口 或 红外 请 口 直接 连接 到 其 它 计 算 机 ， 或 设置 此 计算 机 使 其 它 
计算 机 能 与 它 连 接 。 


[EE 可 


图 7.19 新 建 连接 向 导 之 网 络 连接 类 型 
第 2 步 : 单 击 * 下 一 步 ? 按 钮 后 弹出 如 图 7. 20 所 示 窗 口 。 在 “创建 下 列 连接 ”的 单 选 栏 
中 选中 ”虚拟 专用 网 络 连接 ”选项 。 


新 建 连 扶 向 导 


同 络 连 接 >) 
悠 想 要 在 工作 点 如 何 与 网 络 连 接 ? 
创 陡 下 列 详 接 : 

口 搞 号 连接 @) 


boonies on ， 或 通过 综合 业务 数字 网 CSDID 电话 线 连 


加 下 天 专用 网 络 连 接壤] 
使 用 虚拟 专用 网 络 WPI) 通 过 Internet 连接 到 网 络 。 


FEEEEOEEEO 


图 7.20 新 建 连接 向 导 之 网 络 连接 


第 3 步 : 单 击 * 下 一 步 ? 按 钮 ,在 弹出 的 如 图 7. 21 所 示 的 窗口 “连接 名 ”对 话 框 中 为 连接 
输入 一 个 公司 名 ,如 ABC; 单 击 "下 一 步 ? 按 钮 后 ,在 弹出 的 如 图 7. 22 所 示 窗 口中 输入 准备 
连接 的 VPN 服务 器 的 IP 地 址 或 域名 ,如 www. 163. com。 

第 4 步 : 单 击 * 下 一 步 ” 按 钮 后 ,完成 新 建 连接 。 

这 样 ,在 “控制 面板 ”的 “网 络 连接 ”中 的 “虚拟 专用 网 络 ”* 下 面 ,就 可 以 看 到 刚才 新 建 的 
ABC 连接 ,如 图 7. 23 所 示 。 
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连接 名 
指定 连接 到 禾 的 工作 场所 的 连接 名 称 。 


在 下 面 框 中 输入 此 连接 的 名 称 。 
公司 名 凶 ) 
AEC 


例如 ， 悠 可 以 辆 入 悠 的 工作 地 点 名 或 次 连接 到 的 服务 器 各。 


< 上-@] 全 = 区 ® 


图 7.21 新 建 连接 向 导 之 连接 公司 名 称 


新 建 连接 向 导 


YPH 服务 器 选择 
VPN 服务 器 的 名 称 或 地 址 是 什么 ? 


< 上- 步 @@] 全 = 步 名] [ 职 


图 7.22 新 建 连接 向 导 之 服务 器 域名 


文件 下” 编辑 E) 查看 WW) 收 褒 W) 工具 CI) 高 级 如 帮助 00 


所- 日 - 访 且 拒 及 XH 国 - 


地 址 中) | 分 网 六 连接 


国 名 娃 一 个 新 的 连接 
侈 设置 家 话 或 小 型 办 公 
网 络 


更 中 Windows 防火 
所 后 巩 置 


图 7.23 新 建 的 VPN 连接 


274 


SA 


网 络 安全 技术 与 应 用 实践 


第 5 步 : 在 ABC 连接 上 右 击 ,再 单 击 “ 属 性 ”按钮 ,在 弹出 的 窗口 中 单 击 “ 网 络 ” 选 项 卡 ， 
然后 选中 “Internet 协议 (TCP/IP)” 选 项 ,如 图 7. 24 所 示 。 

第 6 步 : 单 击 图 7.24 中 的 “属性 ”按钮 ,在 弹出 的 窗口 中 再 单 击 “ 高 级 ”按钮 ,把 “在 远程 
网 络 上 使 用 默认 网 关 ” 前 面 的 钧 去 掉 , 如 图 7. 25 所 示 。 


高 级 ICP/IP 设置 


军 规 [pxs jms | 
Ep 
[3 
I 
EE 
器 时 
回 图 及 crosoft 网 络 客 户 端 
安装 如) 
描述 
现 缠 Re 它 提供 跨越 多 种 互联 网 
CC 本 | CD 
图 7.24 新 建 连接 的 属性 图 7.25 高 级 TCP/IP 设 置 


注意 : 如 果 不 取消 这 个 匀 选 ,客户 端 拨 入 到 VPN 后 ,将 使 用 远程 的 网 络 作为 默认 网 关 ， 
致使 客户 端 只 能 连通 虚拟 局 域 网 而 连 不 上 Internet。 

第 7 步 : 现在 可 以 开始 拨号 进入 VPN 了 。 双 击 图 7.23 中 的 ABC 连接 ,弹出 如 图 7. 26 
所 示 窗 口 。 

第 8 步 : 在 图 7. 26 中 单 击 “ 属 性 ”按钮 ,弹出 如 图 7. 27 所 示 “ 宽 带 连接 属性 "窗口 。 


” 真 带 连 按 属性 ?XX 


连 护 并 带 连 入 


多 高 级 ( 自 定义 设置 ) 0) 


要 使 用 这 些 设置 需要 有 安全 协议 的 知识 。 


用 户 名 QD: jyslin 
密码 @): 和 


口 拓 下 而 用户 保 闪 用 户 才 和 密码 芒 )] 
站 


三 1+ 算 机 所 A 
| 属性 中 ] [着 助 0 
7.26 拨号 连接 属性 图 7.27 拨号 连接 的 安全 属性 
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第 9 步 : 在 图 7.27 中 打开 “安全 ”选项 卡 , 单 击 “ 高 级 ”选项 ,再 单 击 “ 设 置 "按钮 ,弹出 如 
图 7. 28 所 示 的 “高 级 安全 设置 "窗口 。 按 图 示 对 数据 加 密 允 许 使 用 的 协议 进行 相应 的 选择 
后 , 单 击 “ 确 定 ” 按 钮 。 


商 级 安全 设置 


牌 录 安全 措施 
加 使 用 可 扩展 的 身份 验证 协议 EAP) 到) 


加 区 许 这 些 协议 到 ) 
回 不 加 密 的 客 码 BAP) 0D 
回 Shiva 密码 身份 验证 协议 SPAP) G) 
回 质询 握手 身份 验证 寺 议 CHAP) (C) 
icrosoft CHAP 0S-CHAEP) 四) 
口 允许 为 Windows95 服务 器 使 用 旧版 NS-CHAP 于) 
回 晤 erosoft CHAP 版 本 2 0S-CHAP v2) GD) 


口舌 "Sms Tindors 登录 各 和 它 码 
ED Ca 


图 7.28 拨号 连接 的 高 级 安全 设置 


第 10 步 : 进行 高 级 安全 设置 后 ,在 图 7. 26 对 话 框 的 用 户 名 和 密码 栏 分 别 输入 分 配给 
该 客户 端的 用 户 名 和 密码 。 然 后 单 击 * 连 接 ” 按 钮 .片刻 后 即 可 看 到 此 次 拨号 连接 完成 的 显 
示 ,表示 已 经 氢 通 人 网 了 。 

拨 通 后 在 任务 栏 的 右 下 角 会 出 现 一 个 网 络 连接 的 图 标 ,表示 已 经 氢 入 到 VPN 服务 器 。 

如 果 和 希望 每 次 拨号 时 均 不 用 再 输入 用 户 名 和 密码 , 则 可 在 图 7. 26 中 勾 选 “为 下 面 用 户 
保存 用 户 名 和 密码 ”选项 ,并 勾 选 “只 用 我 ”或 “任何 使 用 此 计算 机 的 人 ”选项 。 为 了 安全 起 
见 ,建议 每 次 拨号 入 网 时 要 输入 自己 的 用 户 名 和 密码 。 

以 上 是 通过 Windows 2003 提供 的 “路 由 和 远程 访问 ”功能 配置 实现 VPN 服务 器 ,并 通 
过 建立 VPN 客户 端 实现 VPN 连接 ,使 位 于 异地 的 主机 能 够 通过 VPN 连接 的 方式 组 建成 
新 的 VPN 网 络 ,使 其 能 够 访问 到 没有 分 配 公 有 IP 地 址 的 内 部 网 络 主机 并 具有 良好 的 保 
密 性 。 

如 果 想 查看 VPN 客户 端 与 服务 器 的 连接 ,可 在 客户 机 上 依次 单 击 *“ 开 始 ” 一 “程序 ”一 
“附件 ”一 “命令 提示 符 ” 菜 单 , 在 命令 提示 符 窗口 输入 ipconfig 并 按 回 车 键 ,这 时 可 以 看 到 本 
地 连接 的 IP 地 址 和 虚拟 专用 连接 的 IP 地址。 同样 ,在 VPN 服务 器 端 也 可 以 看 到 已 经 建立 
起 来 的 VPN 连接 情况 。 

另外 ,VPN 服务 器 的 远程 访问 策略 可 以 灵活 地 对 远程 访问 进行 配置 ,建议 网 络 管理 员 
使 用 该 项 功能 。 配 置 远程 访问 策略 可 在 图 7. 10 中 的 “远程 访问 策略 ”下 进行 ( 右 击 “ 远 程 
访问 策略 ?选项 ,选择 “新 建 远程 访问 策略 ”, 在 出 现 的 “新 建 远程 访问 策略 向 导 ” 中 跳 过 欢 
迎 界 面 ,依次 在 “策略 配置 方法 ”“ 访 问 方法 ”“ 用 户 或 组 访问 ”等 对 话 框 中 填 入 相应 信息 
即 可 )。 
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习题 和 思考 题 


一 、 问 答题 

1. 什么 是 虚拟 专用 网 (VPN)? VPN 采用 了 哪些 安全 措施 ? 
2. 简 述 VPN 的 功能 和 特点 。 

二 、 填空 题 


1. VPN 采用 了 ( DJ ii ) 和 完整 性 等 安全 措施 。 


2. VPN 采用 的 安全 技术 主要 有 ( ) 技 术 、( ) 技 术 、 
访问 控制 等 。 
3. VPN 的 主要 端 接点 有 ( yt ) 和 专用 VPN 设备 。 


三 、 单 项 选择 题 

Wh 及 了 ) 项 是 VPN 的 功能 。 

A. 数据 加 密 B. 用 户 认 证 C. 多 协议 支持 
2. 以 下 ( ) 项 可 能 不 是 VPN 的 特点 。 

A. 低 费 用 B. 高 安全 性 C. 高 速率 
四 、 实 验 题 


) 技 术 、( ) 技 术 和 


D. A、.B、C 都 对 


D. 高 质量 


VPN 实验 : 参考 本 教材 或 相关 手册 ,进行 Windows 2003 环境 下 VPN 服务 器 的 安装 与 


配置 。 


无 线 网 络 的 安全 与 应 用 实践 | 


自从 意大利 人 马 可 尼 在 1896 年 申请 了 第 一 个 无 线 电 报 专 利 以 来 ,无 线 技术 已 经 改变 了 
人 们 接收 信息 的 方式 。 从 最 早 的 收音 机 到 现在 的 手机 、 无 线 网 络 设备 ,无 线 通信 得 到 了 长 足 
发 展 ,也 催生 了 一 系列 的 产品 和 服务 。 

无 线 技术 与 网 络 技术 的 融合 提供 了 即时 通信 ,永久 在 线 的 可 能 性 ,其 发 展 前 景 似乎 是 无 
限 的 。 但 作为 一 种 新 型 技术 ,新 的 标准 和 应 用 发 展 很 快 ,安全 问题 却 没有 得 到 足够 重视 。 无 
线 通信 中 信息 是 利用 无 形 介质 传输 的 ,因此 更 容易 被 截 收 ,信息 安全 问题 更 加 突出 。C. I A 
(信息 安全 体系 的 三 大 目标 : 保密 性 (Confidential)、 完 整 性 (Integrity) 和 可 用 人 性 
(Availability) ,简称 为 C. I. A) 的 要 求 同 样 适合 于 无 线 网 络 。 随 着 无 线 技术 的 发 展 ,其 安全 
技术 也 得 到 发 展 ,无 线 网 络 安全 标准 WTLSP 和 802. 1x 等 正在 逐步 得 到 完善 。 


6.1 无 线 广域网 安全 
2 


8.1.1 无 线 广域网 技术 


无 线 网 络 有 无 线 局 域 网 (WLAN) 和 无 线 广 域 网 (WWAN) 两 种 类 型 。WWAN 技术 的 
主要 用 途 是 连接 Internet 和 将 分 散在 城市 各 处 的 用 户 点 连接 起 来 。 可 使 常用 的 笔记 本 电脑 
或 其 他 设备 在 蜂窝 网 络 覆 盖 范 围 内 的 任何 地 方 连接 到 Internet。 


1. MMDS 技术 


多 信道 多 点 分 配 业 务 (multichannel multipoint distribution services,MMDS) 始 于 20 世 
纪 80 年 代 , 开 始 时 服务 于 无 线 电 视 用 户 。MMDS 技术 发 展 初期 ,FCC( 美 国联 邦 通信 委员 
会 ) 分 配 了 4 组 8 个 频道 ,这 意味 着 无 线 电缆 公司 只 能 向 其 用 户 发 送 4 个 频道 的 节目 。 因 为 
在 电视 系统 中 ,频道 数 越 多 越 好 ,基于 MMDS 技术 的 电缆 公司 向 FCC 请 示 分 配 更 多 的 频 
道 ,因而 发 展 成 后 来 的 频率 分 发 技术 。 

MMDS 工作 于 2. 5 一 2.7GHz 频段 。 接 收 器 通常 是 全 方向 的 ,允许 从 各 个 方向 进行 连 
接 。 由 于 MMDS 工作 于 一 个 相对 低 的 频率 , 它 对 大 气 条 件 有 一 定 的 抵抗 力 , 而 且 一 个 天 线 
就 可 以 服务 很 大 的 范围 。 

由 于 其 部 署 相 对 便宜 ,很 多 公司 还 是 支持 MMDS 应 用 于 无 线 系统 。 一 个 安装 足够 高 
的 单个 天 线 , 可 以 服务 很 大 的 区 域 。ISP 将 连接 接 入 Internet 之 前 可 以 通过 多 个 天 线路 由 
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连接 。 这 可 使 ISP 通过 设置 连接 多 个 天 线形 成 骨干 连接 的 方式 以 节省 带宽 投资 。 它 还 允许 
ISP 为 其 客户 设置 元 余 连 接 。 可 以 创建 一 个 无 线 天 线 环 来 为 某 一 区 域 提 供 服务 ,提供 数据 
传送 过 程 中 的 容错 能 力 , 甚 至 可 以 为 ISP 的 用 户 提供 多 点 连接 。 


2. LMDS 技术 


本 地 多 点 分 配 业 务 (local multipoint distribution services,LMDS) 也 是 一 种 固定 式 无 线 
技术 ,但 它 的 支持 技术 与 蜂窝 式 技术 类 似 。LMDS 工作 于 28 一 31GHz 频段 ,其 服务 范围 比 
MMDS 小 , 仅 支 持 方圆 5 英里 的 通信 , 且 只 有 大 约 2. 5 英里 的 全 带宽 通信 能 力 。LMDS 比 
MMDS 更 易 受 天 气 和 其 他 干扰 的 影 

LMDS 的 优势 在 于 它 部 署 的 单个 访问 天 线 的 价格 较 低 , 上 且 使 用 频率 较 高 ,可 允许 供应 
商 为 每 个 客户 提供 更 大 的 带宽 。LMDS 供应 商 可 提供 10Mb/s 的 下 载 速率 和 2Mb/s 的 上 
传 速率 。 由 于 LMDS 服务 范围 的 限制 及 其 所 需 的 严格 线路 ,LMDS 适合 在 城市 或 商业 区 
部 署 。 


3. 扩 频 技术 


扩展 频谱 技术 (spread spectrum technology,SST ,简称 扩 频 技术 ) 是 一 种 宽带 无 线 电 频 
率 (radio frequency,RF) 技 术 。 在 发 送 端 ,SST 将 罕 频 固定 无 线 信和 号 转化 为 宽频 信号 输出 ; 
在 接收 端 , 无 线 数据 终端 系统 C(WMTS) 接 收 宽频 信号 ,并 将 其 转变 为 窄 频 信号 并 对 信息 进 
行 重 组 。 

扩 频 技术 采用 一 种 比 穿 带 传输 消耗 更 多 带宽 的 传输 模式 ,但 却 能 够 产生 更 强 .更 能 被 其 
他 设备 接收 到 的 信号 。 因 此 , 扩 频 技术 牺牲 了 带宽 , 却 带 来 安全 性 、 信 息 完整 性 和 传输 可 靠 
性 方面 的 优势 。 扩 频 技术 有 跳 频 扩 频 (FHSS) 直接 序列 扩 频 (DSSS) 和 码 分 多 址 (CDMA) 
三 种 类 型 。 

CDMA 主要 应 用 于 移动 电话 业务 。CDMA 以 与 DSSS 和 FHSS 相同 的 方式 转换 数据 ， 
但 与 FHSS 和 DSSS 相 比 , 它 通 过 更 窗 的 波段 来 扩散 信和 号。 


4. 无 线 应 用 协议 (WAP) 


1997 年 ,爱立信 摩托罗拉 ,诺基亚 等 公司 公布 了 无 线 应 用 协议 (wireless application 
protocol, WAP)。WAP 是 作为 一 组 技术 开发 的 ,只 是 它 更 适应 小 屏幕 、 资 源 有 限 的 手持 设 
备 的 应 用 。WAP 的 最 新 版 本 允许 用 户 通过 电话 传输 动画 和 声音 等 多 媒体 文件 。 它 包括 一 
个 工具 包 ,使 得 新 的 应 用 (如 XHTML) 能够 更 快 地 被 开发 出 来 。 

WAP 是 一 种 无 线 应 用 通信 协议 ,是 一 种 向 移动 终端 提供 Internet 内 容 和 先进 增值 服务 
的 ,全 球 统一 的 开放 式 协议 标准 ,是 简化 了 的 无 线 Internet 协议 。 这 项 技术 让 使 用 者 可 以 用 
手机 之 类 的 无 线装 置 上 网 , 透 过 小 型 屏幕 访问 各 个 网 站 。 而 这 些 网 站 以 前 必须 以 WML 编 
写 ,但 是 在 手机 功能 越 来 越 强大 的 今天 ,这 类 网 站 不 再 只 能 用 WML 语言 编写 ,还 可 以 使 用 
XHTML 语言 ,编写 出 来 的 页 面 功能 更 丰富 。 它 不 依赖 某 种 网 络 而 存在 ,今天 的 WAP 服务 
在 3G 普及 后 仍然 可 能 继续 存在 ,不 过 传输 速率 更 快 ,协议 标准 也 会 随 之 升级 。 

WAP 的 目标 就 是 通过 WAP 技术 将 Internet 的 大 量 信息 及 各 种 各 样 的 业务 引入 到 移 
动 电话 .PALM 等 无 线 终端 之 中 。 无 论 用 户 在 何 时 何 地 ,只 要 需要 信息 ,就 可 以 打开 自己 的 
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WAP 手机 上 网 ,享受 无 穷 无 尽 的 网 上 信息 或 网 上 资源 ,如 综合 新 闻 、 天 气 预 报 、 股 市 动态 、 
商业 报道 .当前 汇率 等 。WAP 的 电子 商务 、 网 上 银行 也 将 逐一 实现 。 


8.1.2 无 线 设备 与 数据 安全 
1. 无 线 频率 安全 


由 于 无 线 传输 是 通过 无 线 电波 进行 的 ,这 使 任何 人 不 必 经 过 物理 连接 到 网 络 的 任何 部 
分 即 可 监控 传输 过 程 。 拥 有 无 线 网 卡 和 一 些 无 线 网 络 系统 基本 知识 的 攻击 者 即 可 监控 所 有 
通过 网 络 的 通信 。 

大 多 数 形式 的 固定 无 线 Internet 访问 通过 RF 频谱 进行 通信 。RF 频谱 实际 是 一 个 宽 
范围 的 微波 频率 ,范围 从 500kHz 一 300GHz。 常 见 的 使 用 RF 频谱 的 设备 有 移动 电话 ,无绳 
电话 .电视 机 .AM 和 FM 收音 机 、 微 波 炉 等 。 

RF 频谱 内 频率 的 使 用 ,在 美国 由 FCC 授权 许可 ,而 世界 其 他 地 方 由 国际 电信 联盟 
(ITU) 授 权 许可 。 这 种 差异 会 导致 美国 的 设备 与 世界 其 他 国家 的 同类 设备 运行 在 不 同 的 频 
率 上 。 

并 不 是 RF 频谱 内 所 有 的 频率 都 要 经 过 许可 ,还 有 一 些 频 率 范 围 为 自由 频段 ,最 常用 的 
是 工业 、 科 学 和 医学 (industrial scientific ,medical,ISM) 界 所 用 的 频段 。ISM 频率 通常 是 固 
定式 无 线 Internet 访问 设备 所 最 常用 的 频率 。 

最 常用 的 两 种 固定 式 无 线 Internet 访问 技术 为 MMDS 和 LMDS。 


2. 物理 位 置 安全 


无 线 网 络 重要 设备 的 物理 位 置 对 于 固定 式 无 线 通信 环境 来 说 是 非常 重要 的 ,其 主要 原 
因 是 信息 的 可 到 达 性 和 设备 的 安全 性 。 

信息 可 到 达 性 是 固定 式 无 线 网 络 用 户 最 关心 的 事 , 尤 其 是 应 用 LMDS 技术 的 用 户 。 如 
果 天 线 没 有 ISP 的 WMTS 清晰 视线 ,连接 就 会 被 认为 是 无 用 的 。 多 数 情况 下 ,需要 访问 
WMTS 的 视线 意味 着 要 求 天 线 必须 安装 在 无 线 网 络 设备 所 在 的 建筑 物 项 部 或 建筑 物 外 的 
高 塔 (杆子 ) 上 。 这 样 可 使 信息 有 最 大 化 的 可 到 达 性 。 另 外 ,提高 无 线 网 络 性 能 的 一 个 途径 
是 通过 使 用 更 好 的 电缆 ,这 可 有 助 于 降低 信号 衰减 。 

为 了 保证 设备 的 安全 性 ,用 户 可 考虑 将 一 些 重要 设备 (如 无 线 调制 解 调 器 、 路 由 设备 ) 固 
定 在 安全 的 箱 柜 里 。 调 制 解 调 器 上 的 默认 密码 应 该 改变 ,而 且 还 要 限制 能 访问 它 的 用 户 数 
量 。 一 些 公司 希 望 将 调制 解 调 器 放 在 天 线 附近 ,通常 是 放 在 屋顶 ,作为 保持 信和 号 强度 的 方 
法 。 在 这 种 情况 下 可 将 调制 解 调 器 加 锁 封 装 ,以 防止 自然 环境 的 破坏 和 潜在 的 攻击 者 。 如 
果 条 件 允 许 , 可 建筑 一 道 篱 笛 围 起 调制 解 调 器 和 天 线 , 确 保 这 些 重要 物理 设备 的 安全 。 


3. 无 线 数据 加 密 


固定 式 无 线 传输 通过 使 用 扩 频 技术 来 保证 其 安全 。 由 于 无 线 连 接 通 过 特定 频段 传输 
(如 FM 信号 ) ,所 以 某 个 拥有 天 线 和 类 似 网 络 设备 的 攻击 者 会 很 容易 地 嗅 探 到 传输 信息 。 

保护 传送 数据 安全 的 最 好 办 法 是 对 数据 进行 加 密 。 无 线 制造 商 开 发 了 一 种 基于 电缆 的 
安全 标准 一 一 缆 上 数据 业务 接口 规范 (DOCSIS 二 ) 系 统 。 使 用 DOCSIS 十 系统 ,ISP 可 以 对 
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用 户 调制 解 调 器 和 IWMTS( 无 线 消息 测试 平台 ) 之 间 的 数据 流 进行 强制 加 密 。DOCSIS 十 
系统 支持 多 种 类 型 的 密 钥 体制 (如 x. 509 数字 认证 、RSA 公 钥 加 密 算法 和 TDES 加 密 ) 。 
WMTS 制定 的 加 密 策略 要 求 终 端 用 户 调制 解 调 器 必须 遵守 ,否则 WMTS 不 接收 数据 。 
这 样 既 可 防止 攻击 者 查看 数据 ,又 可 防止 未 授权 用 户 用 WMTS 获得 对 ISP 的 未 授权 
访问 。 


8.1.3 无 线 蜂窝 网 络 技术 


1. 无 线 传输 技术 


第 一 代 无 线 传输 技术 (1G) 是 基于 模拟 信号 的 ,其 传输 速率 为 9. 6Kby/s 或 更 低 。 第 二 代 
无 线 传输 技术 (2G) 是 基于 数字 信号 的 ,其 标准 有 美国 的 TDMA 和 CDMA 日 本 的 PDC 及 欧洲 
的 GSM。2G 能 够 提供 更 高 的 传输 速率 和 更 好 的 安全 性 ,其 传输 速率 为 9. 6 一 14. 4Kb/s。 第 三 
代 无 线 传 输 技 术 (3G) ,如 UMTS 和 CDMA 2000, 其 传输 速率 可 达到 14. 4Kb/s 一 2Mbys。 
在 2G 与 3G 之 间 还 存在 着 第 2.5 代 (2.5G), 它 属于 第 二 代 的 功能 提升 及 向 第 三 代 的 过 渡 。 
第 四 代 无 线 传输 技术 (4G) 着 眼 于 无 线 异 步 传输 模式 (WATM) 的 研究 上 , 它 能 够 提供 
10Mby/s 一 150Mbys 的 高 质量 \ 低 差错 率 的 服务 ,也 就 是 真正 的 高 速 无 线 数据 网 络 。 


2. 时 分 多 址 


时 分 多 址 (time division multiple access,TDMA) 技 术 是 美国 电信 产业 协会 CTIA) 于 
1992 年 制定 的 数字 标准 ,属于 第 二 代 无 线 传 输 技 术 。TDMA 将 分 配给 它 的 频 宽 划 分 成 一 
系列 的 信道 ,每 个 信道 划分 为 多 个 时 段 ,信道 中 的 每 个 会 话 被 分 配 到 这 些 时 段 里 。 许 多 电信 
运营 商 将 其 加 入 到 以 前 的 语音 网 络 中 ,以 提高 它 的 安全 性 和 功能 。 


3. 全 球 移动 通信 系统 


全 球 移动 通信 系统 (global system for mobile communications,GSM) 是 世界 上 主要 的 
蜂窝 技术 之 一 。GSM 是 基于 窄带 TDMA 制式 ,允许 在 一 个 射频 同时 进行 8 组 通话 。GSM 
在 20 世纪 80 年 代 兴 起 于 欧洲 ,1991 年 投入 使 用 ,到 1997 年 底 , 已 经 在 100 多 个 国家 运营 ， 
成 为 欧洲 和 亚洲 实际 上 的 标准 ,属于 2G 技术 。 

随 着 GSM 移动 通信 网 络 用 户 数 量 的 迅速 增长 ,为 了 满足 GSM 网 络 容量 增长 的 需求 ， 
GSM 在 原 有 的 900 频段 的 基础 上 ,又 引入 1800 频段 。 采 用 GSM900/1800 双 频 段 操作 , 极 
大 地 缓解 了 GSM900 的 容量 压力 。 采 用 GSM900/1800 双 频 段 操 作 , 能 经 济 有 效 地 解决 网 
络 容量 需求 的 问题 。 


4. 码 分 多 址 


码 分 多 址 (code division multiple Access, CDMA) 技 术 于 1993 年 被 电信 产业 协会 
(TIA) 采 用 ,其 主要 特点 是 高 质量 、 小 蜂窝 半径 、 特 殊 编码 方式 和 扩 频 技术 。 它 是 在 扩 频 通 
信和 技术 上 发 展 起 来 的 一 种 则 新 而 成 熟 的 无 线 通 信 技 术 。CDMA 技术 的 原理 是 基于 扩 频 技 
术 , 即 将 需要 传送 的 具有 一 定 带 宽 的 数据 信号 ,用 一 个 远大 于 此 信号 带宽 的 高 速 伪 随 机 码 进 
行 调制 ,使 原 数据 信号 的 带宽 被 扩展 ,再 经 载波 调制 并 发 送出 去 。 接 收 端 使 用 完全 相同 的 伪 
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随机 码 ,与 接收 的 带宽 信号 做 相关 处 理 , 把 宽带 信号 转换 成 原来 的 窗 带 信号 ( 解 扩 ) ,以 实现 
数据 通信 。 


5. 2.5G 技术 


第 2. 5 代 无 线 通信 技术 能 够 提供 更 高 的 带宽 和 更 多 的 服务 内 容 , 如 HSCSD、GPRS 和 
EDGE 技术 。 它 们 可 使 网 络 运营 商 在 投资 到 昂贵 的 3G 技术 之 前 就 能 给 用 户 提供 增强 的 
服务 。 

高 速 线路 交换 数据 (high speed circuit switched data, HSCSD) 是 一 个 基于 GSM 的 线 
路 交换 协议 。 它 的 速率 能 够 达到 38. 4Kb/s, 这 是 因为 它 能 够 使 用 4 条 信道 同时 提供 GSM 
服务 ,是 过 渡 到 GPRS 的 中 间 技 术 。 

通用 分 组 无 线 业务 (general packet radio service,GPRS) 是 基于 GSM 的 分 组 交换 技术 ， 
其 速率 能 够 达到 144Kb/s。GPRS 设备 一 直 和 网 络 连接 ,这 意味 着 它 能 够 提供 即时 通信 功 
能 。 当 有 数据 传输 时 , 才 需 要 占用 网 络 带宽 。 

增强 型 数据 速率 GSM 演进 技术 (enhanced data rate for GSM evolution ,EDGE) 是 一 
种 从 GSM 到 3G 的 过 渡 技 术 , 它 主要 是 在 GSM 系统 中 采用 了 一 种 新 的 调制 方法 , 即 最 先进 
的 多 时 隙 操作 和 8PSK 调制 技术 。EDGE 能 够 提供 384Kb/s 的 速率 ,就 能 够 支持 无 线 多 媒 
体 应 用 。 


6. 3G 技术 


第 三 代 移 动 通 信 (3G) 技 术 能 够 提供 更 高 的 速率 。 它 的 技术 框架 由 ITU 作为 IMT- 
2000 项 目的 一 部 分 制定 。3G 是 第 一 个 将 宽带 数据 通信 和 语音 通信 放 到 同等 位 置 的 无 线 蜂 
窝 技术 。 蓝 牙 技 术 规 范 也 支持 3G 技术 ,将 各 种 服务 扩展 到 掌上 电脑 和 PDA(personal 
digital assistant) 上 。 

国际 移动 电话 标准 2000(IMT-2000) 项 目 是 为 促进 3G 技术 开发 者 之 间 的 合作 而 设立 
的 。 通 用 移动 通信 系统 (universal mobile telecommunications system,UMTS) 是 欧洲 电信 
标准 协会 (ETSD 提 出 的 项 目 。 它 是 IMT-2000 标准 在 欧洲 的 第 一 个 应 用 。UMTS 是 下 一 
代 全 球 蜂窝 系统 ,已 投入 使 用 。 通 过 同时 使 用 在 2GHz 频段 的 TDMA 和 WCDMA,UMTS 
将 达到 2Mb/s 的 带宽 。WCDMA( 宽 带 CDMA) 和 TD-SCDMA( 时 分 同步 码 分 多 址 ) 技 术 
同属 3G 技术 。WCDMA 是 一 种 基于 GSM MAP 核心 网 、 利 用 码 分 多 址 复 用 方法 实现 的 宽 
带 扩 频 的 3G 系统 ,支持 WCDMA 的 厂商 有 和 爱立信、 诺基亚 和 一 些 日 本 厂商 。TD-SCDMA 
是 由 中 国 提出 的 .以 中 国 知识 产权 为 主 的 、 被 国际 上 广泛 接受 和 认可 的 3G 标准 ,主要 支持 
厂商 有 大 唐 、 华 为 .中 兴 等 国内 著名 公司 。 


8.1.4 无 线 蜂窝 网 络 的 安全 性 
1. GSM 的 安全 性 


GSM 网 络 体 系 结构 如 图 8. 1 所 示 , 由 带 有 SIM 卡 的 手持 机 、 基 站 收发 信号 台 BTS、 基 
站 控制 器 BSC 移动 交换 中 心 MSC、 认 证 中 心 AuC 归属 位 置 登记 数据 库 HLR 访问 位 置 合 
记 数据 库 VLR 和 运营 中 心 OMC 等 部 分 组 成 。 
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中 心 
(0) 到 人 
基站 ”|_| 移动 交换 二 而 
控制 器 中 心 登记 数据 库 


号 


(1) GSM 的 安全 性 

GSM 的 安全 性 基于 对 称 密 钥 的 加 密 体系 。GSM 主要 使 用 了 A3、A5 和 A8 三 种 加 密 
算法 。A3 是 移动 设备 到 GSM 网 络 认证 的 算法 ,A5 是 认证 成 功 后 加 密语 音 和 数据 的 分 组 
加 密 算法 ,A8 是 产生 对 称 密 钥 的 密 钥 生 成 算法 。 

GSM 安全 架构 中 的 第 一 步 是 认证 ,确认 一 个 用 户 和 他 的 移动 设备 是 授权 访问 GSM 网 
络 的 。 因 为 SIM 卡 和 移动 网 络 具 有 相同 的 加 密 算法 和 对 称 密 钥 ,它们 可 以 建立 信任 关系 。 
在 移动 设备 中 ,这 些 信息 存储 在 SIM 卡 中 。SIM 卡 中 的 信息 由 运营 商定 制 (包括 加 密 算法 、 
密 钥 .协议 等 ) ,通过 零售 商 分 发 到 用 户 手中 。 

根据 运营 商 提供 的 服务 内 容 , 单 个 用 户 还 可 以 在 SIM 卡 里 存储 电话 号 码 和 短 消息 。 
MSC 也 保存 着 A3、A5 和 A8 算法 的 副本 ,通常 是 存储 在 硬件 设备 里 。 

(2) GSM 的 认证 过 程 

当 一 部 手机 开始 通话 时 ,GSM 网 络 的 VLR 会 立刻 与 HLR 建立 联系 , HLR 从 AuC 
获取 用 户 信息 。 这 些 信息 会 转发 到 VLR 上 ,VLR 认证 用 户 的 身份 。 认 证 过 程 如 下 ( 见 
图 8. 2): 

中 基站 产生 一 个 128 位 的 随机 数 或 询问 数 (RAND) ,并 将 其 发 给 手机 。 

@ 手机 使 用 A3 算法 和 密 钥 K; 将 RAND 加 密 ,产生 一 个 32 位 的 签名 回应 (SRES) , 同 
时 VLR 也 计算 出 一 个 SRES 值 。 

@ 手机 将 SRES 传输 到 基站 ,基站 转发 到 VLR。 

@ VLR 将 收 到 的 SRES 值 与 计算 出 的 SRES 值 进行 对 比 。 

@ 如 果 与 SRES 值 相符 ,认证 成 功 , 用 户 可 以 使 用 网 络 ; 否则 ,连接 终止 ,错误 信息 报告 


到 手机 上 。 
基站 和 
访问 位 时 
控制 器 登记 数据 座 


签名 回应 =A3(RAND.Ki) 签名 回应 =A3(RAND, K;) 


访问 位 置 
登记 数据 库 


> 
数据 库 


图 8.1 GSM 网 络 体系 结构 


8.2 GSM 的 认证 过 程 
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(3) GSM 的 保密 性 

在 成 功 地 认证 后 ,GSM 网 络 和 手机 会 完成 一 个 建立 加 密 信道 的 过 程 。 首 先 需 要 产生 一 
个 加 密 密 钥 , 然 后 该 加 密 密 钥 被 用 来 加 密 整 个 通信 过 程 。 

Q@ SIM 卡 使 用 RAND ,将 它 与 Ki 结合 在 一 起 ,通过 A8 算法 生成 一 个 64 位 的 会 话 密 
钥 (K.)。 

@ GSM 网 络 也 计算 出 相同 的 会 话 密 钥 。 

@ K。 与 A5 算法 结合 在 一 起 ,产生 手机 与 GSM 网 络 之 间 的 加 密 通信 数据 。 


2. CDMA 的 安全 性 


CDMA 网 络 的 安全 性 同样 也 建立 在 对 称 密 钥 体系 上 ,其 网 络 架 构 大 臻 与 GSM 相同 。 

CDMA 手机 使 用 64 位 对 称 密 钥 ( 称 为 A-Key) 进 行 认证 。 购 买 手机 时 ,这 个 密 钥 被 程 
序 输入 至 手机 内 ,同时 也 由 运营 商 保存 。 手 机 内 的 软件 计算 出 一 个 校 验 值 ,确保 A-Key 正 
确 输入 。 

(1) CDMA 认证 

当 用 手机 打 电 话 时 ,CDMA 网 络 的 VLR 对 用 户 进行 认证 。CDMA 网 络 使 用 一 种 称 为 
蜂窝 认证 的 技术 和 语音 加 密 (CAVE) 的 算法 。 

为 了 减少 A-Key 被 截获 的 风险 ,CDMA 手机 采用 一 种 基于 A-Key 的 动态 生成 数 来 进 
行 认证 。 该 生成 数 称 为 共享 密 钥 (SSD), 它 是 由 用 户 的 
A-Key、 手 机 的 电子 序列 号 (ESN) 和 随机 数 RAND 三 个 
数值 计算 出 来 的 ,如 图 8. 3 所 示 。 这 三 个 数值 通过 CAVE [A-key CAVE sp 
算法 产生 一 个 杂凑 值 。 该 CAVE 操作 会 生成 SSD_A 和 加 
SSD_B 两 个 64 位 值 。SSD_A 等 同 于 GSM 的 SRES, 用 [RAND 
于 认证 ; SSD_B 等 同 于 GSM 的 K., 用 于 加 密 。 

当 手 机 处 于 漫游 状态 时 ,SSD_A 和 SSD_B 被 明文 传 
输 到 正在 访问 的 网 络 中 。 这 可 能 产生 安全 风险 ,因为 黑客 可 以 通过 截获 SSD 值 来 复制 手机 
信息 。 为 了 预防 这 种 攻击 ,手机 和 网 络 使 用 一 个 同步 通话 计数 器 。 每 当 手 机 和 网 络 建立 新 
的 通话 时 ,计数 器 就 会 更 新 ,这 样 就 能 够 检测 出 计数 器 没有 更 新 的 复制 SSD。 

CDMA 的 认证 同样 是 建立 在 询问 和 应 答 过 程 上 的 。 认 证 可 以 由 本 地 MSC 或 者 AuC 
来 完成 。 如 果 一 个 MSC 不 能 完成 CAVE 计算 ,认证 就 由 AuC 来 实现 。CDMA 的 认证 过 


程 如 下 ( 见 图 8. 4) : 
> 
上 基站 移动 交换 
控制 器 人 


AUTHU=CAVE(RANDU,.ESN.MIN) 一 一 AUTHU=CAVE(SSD_A,ESN.MIN) 


ESN 


图 8.3 CAVE 算 法 


8.4 CDMA 的 认证 过 程 


QO@ 移动 手机 拨 出 电话 ,MSC 从 HLR 获取 用 户 信息 。 
@ MSC 产生 一 个 24 位 的 随机 数 用 于 询问 (RANDU) ,并 将 RANDU 传输 到 手机 。 
@ 手机 收 到 RANDU 后 ,与 ESN 和 MIN 一 起 用 CAVE 算法 生成 杂凑 值 ,得 到 一 个 18 
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位 的 AUTHU ,并 将 其 传输 到 MSC 。 

@ 同时 MSC 通过 SSD_A、ESN 和 MIN, 用 CAVE 计算 出 自己 的 AUTHU。 

@ MSC 将 两 个 AUTHU 进行 比 对 ,如 果 两 者 一 致 , 则 继续 进行 通话 ; 否则 ,中 止 通话 。 

(2) CDMA 的 保密 性 

CDMA 采用 与 GSM 类 似 的 语音 加 密 机 制 。 虽 然 CDMA 标准 允许 语音 通信 加 密 , 但 
CDMA 运营 商 并 不 总 提供 这 种 服务 ,因为 CDMA 采用 的 扩 频 技术 和 随机 编码 技术 本 身 就 
比 GSM 采用 的 TDMA 技术 保密 性 好 。 

CDMA 采用 的 加 密 算法 与 GSM 一 样 也 是 保密 的 ,因此 针对 CAVE 算法 的 攻击 很 少 ， 
但 这 并 不 意味 着 CAVE 算法 本 身 的 强 固 性 , 它 在 理论 上 很 有 可 能 也 存在 着 漏洞 。CDMA 
正 开始 逐渐 过 渡 到 公开 加 密 算法 上 ,这 样 会 大 大 加 强加 密 算法 的 强 固 性 ,同时 也 使 CDMA 
运营 商 能 够 提供 更 多 的 移动 商务 服务 。 


3. 3G 的 安全 性 


(1) 2G 的 安全 缺陷 

2G 系统 主要 存在 如 下 安全 缺陷 。 

QO 单 向 身份 认证 ,无 法 防止 伪造 网 络 设备 的 攻击 。 

@ 加 密 密 钥 与 认证 数据 在 网 络 中 使 用 明文 传输 , 易 造 成 信息 泄露 。 

@ 加 密 功 能 没有 延 到 核心 网 ,从 基站 到 基站 控制 器 的 传输 链 路 中 用 户 信息 与 信 令 数据 
均 是 明文 。 

@ 用 户 身 份 认 证 密 钥 不 可 变 ,无 法 抗击 重 放 攻击 。 

@ 无 消息 完整 性 认证 ,不 能 保证 数据 在 链 路 传输 过 程 中 的 完整 性 。 

@ 用 户 漫游 时 ,服务 网 络 采用 的 认证 参数 与 归属 网 络 之 间 没 有 有 效 联系 。 

@ 无 第 三 方 仲裁 功能 , 当 网 络 各 实体 间 出 现 纠纷 时 ,无 法 提交 给 第 三 方 进行 仲裁 。 

(2) 3G 的 安全 特性 

3G 是 在 2G 基础 上 发 展 起 来 的 ,继承 了 2G 系统 的 优点 ,同时 针对 3G 系统 的 新 特性 ， 
定义 了 更 加 完善 的 安全 特征 与 安全 服务 。 

3G 系统 安全 设计 充分 考虑 了 2G 系统 存在 的 安全 性 缺陷 ,在 结构 设计 及 算法 设计 中 了 予 
以 克服 。3G 系统 不 仅 支 持 传统 的 话音 与 数据 业务 ,还 支持 交互 式 业务 与 分 布 式 业务 ,从 而 
提供 了 一 个 全 新 的 业务 环境 。 这 种 全 新 的 业务 环境 不 仅 体 现 了 新 的 业务 特征 ,还 要 求 系统 
能 够 提供 如 下 的 安全 特征 。 

J@ 存在 不 同 的 服务 提供 商 , 同 时 提供 多 种 新 业务 及 不 同业 务 的 并 发 支持 。 新 的 3G 系 
统 安全 特征 需 综合 考虑 多 业务 情况 下 的 被 攻击 性 。 

@ 3G 系统 采用 固定 线路 传输 。 

@ 3G 系统 中 存在 各 种 预付 费 业务 及 对 方 付费 业务 ,应 提供 相应 的 安全 保护 。 

@ 3G 系统 的 安全 特征 应 能 抗击 用 户 可 能 进行 主动 攻击 。 

@ 3G 系统 中 非 话音 业务 将 占 主要 地 位 ,对 安全 性 的 要 求 更 高 。 

@ 3G 系统 中 终端 能 力 进一步 增强 。 

(3) 3G 的 安全 目标 

基于 上 述 原 则 和 安全 特性 ,3G 系统 安全 应 达到 如 下 安全 目标 。 
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Q@ 确保 所 有 用 户 产生 或 与 用 户 相关 的 信息 得 到 足够 的 保护 ,以 防止 滥用 或 盗用 。 
@ 确保 归属 网 络 与 访问 网 络 提供 的 资源 与 服务 得 到 足够 的 保护 ,以 防 滥用 或 盗用 。 
@ 确保 标准 安全 特性 的 全 球 兼容 能 力 。 

@ 确保 安全 特性 的 标准 化 ,保证 不 同 服务 网 络 间 的 漫游 与 互 操作 能 力 。 

@ 确保 提供 给 用 户 与 运营 商 的 安全 保护 水 平 高 于 已 有 的 固定 或 移动 网 络 。 

@ 确保 3G 安全 能 力 的 扩展 性 ,从 而 可 以 根据 新 的 威胁 不 断 扩展 安全 功能 。 


@.2 无 线 局 域 网 安全 


无 线 局 域 网 (WLAN) 是 利用 无 线 通 信 技 术 在 一 定 的 局 部 范围 内 建立 的 网 络 ,是 计算 机 
网 络 与 无 线 通信 技术 相 结 合 的 产物 , 它 以 无 线 多 址 信道 作为 传输 媒介 ,提供 传统 有 线 局 域 网 
LAN 的 功能 ,能 够 使 用 户 真正 实现 随时 、 随 地 、 随 意 的 宽带 网 络 接 入 。 

作为 企业 网 络 的 一 部 分 ,WLAN 越 来 越 受 到 人 们 的 关注 。 利 用 WLAN, 用 户 可 以 在 建 
筑 物 内 或 大 学 校园 里 的 任何 地 方 自 由 地 使 用 笔记 本 电脑 上 网 。 当 然 ,WLAN 也 存在 着 严重 
的 安全 问题 。 它 提供 给 用 户 的 方便 也 可 能 成 为 攻击 者 侵入 网 络 的 捷径 。 攻 击 者 往往 选择 
WLAN 作为 攻击 目标 ,是 因为 网 络 管理 员 配 置 时 没有 考虑 安全 隐患 。 

在 WLAN 应 用 中 ,对 于 家 庭 用 户 、 公 共 场 景 安全 性 要 求 不 高 的 用 户 ,使 用 VLAN( 虚 拟 
局 域 网 ) 隔 离 、MAC 地 址 过 滤 、 服 务 区 域 认 证 ID(ESSID) 密码 访问 控制 和 有 线 等 效 保密 
(wired equivalent privacy, WEP) 协议 可 以 满足 其 安全 性 需求 。 但 对 于 公共 场所 中 安全 性 
要 求 较 高 的 用 户 , 仍 然 存在 着 安全 隐患 ,需要 将 有 线 网 络 中 的 一 些 安全 机 制 引 进 到 WLAN 
中 。 在 无 线 访问 点 (access point,AP) 实 现 复 杂 的 加 密 解密 算法 ,通过 无 线 接 人 控制 器 ,利用 
PPPoE 或 DHCP Web 认证 方式 对 用 户 进行 认证 ,对 用 户 的 业务 流 实行 实时 监控 。 

常见 的 WLAN 连接 标准 是 IEEE 802. 11 协议 。802. 11 规范 仅仅 定义 了 无 线 以 太 网 的 
物理 层 和 MAC 地 址 部 分 。802. 11 协议 中 包含 了 三 个 不 同 的 物理 层 标准 : 802. 11b、802. 11a 
和 802. 11g, 这 些 协议 对 应 着 实现 802. 11 标准 的 不 同方 法 。 

802. 11a 标准 工作 在 5GHz 频段 ,有 8 个 射频 信道 用 于 数据 传输 。802. 11a 适 配 卡 支持 
的 数据 传输 率 高 达 54Mb/s。 因 为 802. 11a 和 802. 11b 适 配 卡 工作 在 不 同 频段 ,所 以 二 者 不 
兼容 。802. 11g 工作 在 2. 4GHz 和 5. 0GHz 两 个 频段 ,但 速率 与 802. 11a 标准 一 样 ,可 达 
54Mb/s。 

WLAN 面临 的 基本 安全 问题 与 WWAN 一 样 ,攻击 者 发 起 攻击 将 不 再 受 必须 在 建筑 物 
内 部 连接 网 络 端 口 等 限制 。 无 线 攻击 时 也 不 受 相应 的 物理 限制 ,也 不 必 设 法 绕 过 路 由 器 、 防 
火 墙 和 服务 器 安全 系统 等 网 络 边界 安全 措施 。 攻 击 者 可 在 网 络 内 部 发 起 攻击 ,因为 那里 障 
碍 较 少 ,更 易 成 功 。 


8.2.1 访问 点 安全 


WLAN 的 安全 应 从 访问 点 着 手 , 保 护 访 问 点 要 采取 的 措施 是 场地 安全 。 访 问 点 必须 从 
物理 上 加 以 保护 ,使 攻击 者 不 能 容易 地 访问 。 
访问 点 应 位 于 靠近 建筑 物 的 中 心 ,这 样 当 信和 号 到 达 边界 时 就 变 得 弱 了 。 假 设 一 个 机 构 
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有 多 个 建筑 物 ,准备 建立 覆盖 整个 园区 的 WLAN ,要 把 信号 限制 在 建筑 物 的 内 部 可 能 很 困 
难 , 就 要 采取 措施 来 确保 园区 自身 的 安全 ,阻止 未 经 授权 的 用 户 进 入 该 地 区 。 

如 果 访 问 点 上 存储 有 密 钥 和 其 他 的 过 滤器 ,访问 它们 将 受到 限制 。 这 就 对 大 多 数 
WLAN 管理 员 提 出 了 一 个 实际 的 问题 ,因为 许多 访问 点 配 有 管理 工具 ,这 些 管 理工 具有 先 
天 的 不 安全 性 。 访 问 点 通常 依靠 HTTP、Telnet 和 SNMP 技术 来 配置 。Telnet 和 HTTP 
的 安全 缺陷 是 所 有 数据 都 是 明文 发 送 ,而 SNMP、Telnet 和 HTTP 都 面临 许多 同样 的 安全 
问题 。 

只 要 可 能 ,在 访问 点 上 应 该 禁用 HTTP、Telnet 和 SNMP 功能 ,并 使 用 其 他 的 安全 访问 
技术 (如 HTTPS 或 SSH)。 如 果 厂 商 不 支持 对 访问 点 控制 的 安全 技术 ,那么 到 访问 点 的 连 
接 就 只 能 通过 有 线 网 段 进 行 。 

应 定期 地 扫描 所 有 访问 点 查找 未 经 授权 的 (访问 ) 通 信 , 更 重要 的 是 查找 未 经 授权 的 访 
问 点 。 因 为 偶尔 企业 用 户 或 用 户 组 可 能 在 实验 室 建 立 WLAN 而 没有 通知 IT 管理 部 门 ,这 
些 用 户 对 安全 保护 WLAN 的 必须 步骤 并 不 知晓 ,因而 可 能 会 不 经 意 地 允许 未 经 授权 的 通 
信访 问 网 络 。 

通常 ,有 线 网 络 的 安全 措施 可 以 阻止 未 经 授权 的 访问 点 连接 WLAN 到 网 络 。 可 以 在 
配 有 802. 11b 局 域 网 卡 的 手持 设备 上 安装 IBM 的 Wireless Security Auditor 和 Netaphor 
Software 的 PDAlert 软件 产品 来 监视 网 络 活动 。 这 些 软件 产品 特别 设计 用 来 审计 WLAN 
网 络 和 警告 管理 员 注意 洪 在 的 安全 漏洞 。 


8.2.2 无 线 局 域 网 协议 安全 
1. SsID 


像 其 他 类 型 的 安全 一 样 , WLAN 安全 包括 很 多 层次 。 有 些 层次 是 可 选 的 ,为 保障 
WLAN 的 安全 性 ,应 实现 尽 可 能 多 的 安全 保护 层 。 

第 一 个 安全 层 是 服务 设置 标识 符 (SSID) 。SSID 基本 上 是 一 个 连接 到 访问 点 时 客户 端 
必须 提交 的 口令 。 如 果 客 户 端 传送 的 SSID 能 与 访问 点 上 的 合法 口令 匹配 , 即 可 建立 连接 ， 
开始 通信 。 

SSID 也 是 分 割 无 线 网 络 的 好 方法 。 如 果 一 个 校园 网 设计 成 用 户 只 能 访问 网 络 的 特定 
部 分 ,那么 可 以 在 不 同 的 区 域 使 用 不 同 的 SSID, 以 便 限制 用 户 对 网 络 特定 部 分 的 访问 。 


2. WEP 


WEP 协议 是 对 在 两 台 设 备 间 无 线 传输 的 数据 进行 加 密 的 技术 ,可 用 以 防止 非法 用 户 窃 
听 或 侵入 无 线 网 络 。 对 多 数 管理 员 来 说 ,SSID 本 身 没 有 提供 足够 的 安全 。 为 进一步 保护 
WLAN ,许多 管理 员 会 使 用 WEP 协议 。 

WEP 是 802. 11 标准 的 部 分 封装 形式 , 它 使 用 对 称 密 钥 加 密 体系 来 保护 终端 用 户 和 访 
问 点 之 间 的 数据 。WEP 标准 指定 用 RC4 伪 随 机 数 生成 (PRNG) 算 法 来 加 密 两 设备 间 传 输 
的 密 钥 。 密 钥 在 WLAN 网 卡 和 访问 点 上 都 有 存储 , 且 网 卡 和 访问 点 之 间 传 输 的 所 有 数据 
都 用 该 密 钥 加 密 。802. 11 标准 不 提供 密 钥 管理 功能 ,所 有 的 密 钥 都 要 人 工 管理 。 

WEP 协议 不 允许 多 密 钥 绑 定 在 一 个 访问 点 上 。 因 此 ,所 有 用 户 有 同样 的 绑 定 在 网 卡 上 
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的 密 钥 ,而 每 个 访问 点 仅 有 一 个 密 钥 。WEP 密 钥 的 使 用 允许 管理 员 限 制 哪些 用 户 使 用 特定 
访问 点 进入 网 络 。 不 同 的 密 钥 与 不 同 的 访问 点 或 访问 点 组 相关 ,但 所 有 授权 使 用 同一 个 访 
问 点 的 用 户 必须 在 他 们 的 WLAN 网 卡 上 设置 相同 的 密 钥 。WEP 封装 存在 严重 的 安全 缺 
陷 。 攻 击 者 使 用 像 AirSnort 这 样 的 程序 ,可 以 嗅 探 到 足够 的 信息 ,只 需要 500MB 的 数据 就 
可 以 攻破 WEP 封装 。WEP 密 钥 的 更 新 需要 口头 或 通过 加 密 邮 件 通知 各 个 用 户 , 当 新 的 密 
钥 发 挥 作 用 后 ,包含 该 密 钥 的 信息 应 该 被 删除 。 由 于 WEP 没有 提供 足够 的 安全 ,因而 不 适 
合作 为 一 种 数据 保护 的 独立 方法 。 它 与 非 广播 SSID 形成 的 组 合 协议 加 密 可 提供 更 高 级 别 
的 安全 ,但 组 合 协议 也 不 能 为 企业 网 络 提供 足够 的 安全 。 


3. MAC 地 址 过 滤 


在 WLAN 上 使 用 的 另 一 个 安全 层 是 MAC 地 址 过 滤 ,就 像 管 理 员 在 交换 式 网 络 上 可 以 
过 滤 MAC 地 址 一 样 ,在 WLAN 网 络 上 也 可 以 过 滤 MAC 地 址 。 在 管理 员 可 以 保护 安全 的 
小 型 WLAN 中 ,MAC 地 址 过 滤 才 有 意义 。 

MAC 地 址 也 可 能 被 欺骗 。 在 WLAN 中 ,攻击 者 可 以 不 经 访问 点 验证 就 监视 通信 , 即 
使 是 加 密 的 数据 ,连接 到 网 络 机 器 的 MAC 地 址 也 以 明文 发 送 。 嗅 探 者 就 能 够 发 现 经 允许 
的 MAC 地 址 ,并 且 修 改 他 们 正在 使 用 的 网 卡 的 MAC 地 址 来 获得 网 络 的 快速 入口 。 

目前 最 好 的 方法 就 是 联合 使 用 非 广播 的 SSID、WEP 和 MAC 地 址 过 滤 方 法 来 保护 
WLAN。 即 使 这 些 措 施 不 足以 提供 像 有 线 网 络 那样 的 安全 水 平 ,但 对 小 型 WLAN 来 说 ,这 
些 措 施 已 足够 了 。 


4. RADIUS 验证 


配置 访问 点 使 用 RADIUS 对 用 户 进行 验证 可 以 进一步 增强 无 线 网 络 的 安全 。 
RADIUS 验证 给 管理 员 提 供 通过 WLAN 访问 点 访问 网 络 的 更 多 精细 粒度 的 控制 ,并 不 是 
所 有 的 访问 点 都 支持 RADIUS 验证 ,但 像 Cisco、Linksys、Lucent 和 Proxim 等 著名 供应 商 
的 访问 点 都 支持 RADIUS 功能 。Funk Software 的 RADIUS 软件 含有 支持 无 线 RADIUS 
验证 的 特殊 扩展 。 

RADIUS 的 验证 过 程 如 图 8. 5 所 示 ,RADIUS 服务 器 迫使 WLAN 用 户 在 获得 网 络 访 
问 前 进行 验证 。 用 户 连 接 到 访问 点 ,使 用 SSID、WEP 或 两 者 来 进行 网 卡 验 证 。 访问 点 向 
RADIUS 服务 器 提交 RADIUS 请 求 .RADIUS 服务 器 验证 现在 能 够 传送 网 络 通信 的 用 户 。 
为 保证 可 靠 性 ,访问 点 还 可 以 增加 一 个 RADIUS 备用 服务 器 。 如 果 主 服务 器 失效 ,用 户 将 
自动 转发 给 备用 服务 器 。 

RADIUS 验证 阻止 未 授权 的 用 户 通过 WLAN 访问 网 络 。 如 果 用 户 不 能 通过 RADIUS 
服务 器 验证 ,就 不 允许 访问 网 络 。 当 用 在 强 密码 策略 的 连接 中 ,RADIUS 验证 有 助 于 制止 
未 授权 用 户 获得 对 网 络 资源 的 访问 。 


5. WLAN VPN 


在 WLAN 中 添加 VPN 隧道 可 以 提供 验证 和 加 密 。 要 求 通过 VPN 访问 WLAN 是 新 
的 安全 方法 ,正在 获得 广泛 支持 。 
WLAN VPN 是 通过 在 网 络 和 访问 点 之 间 加 装 NAS 服务 器 实现 的 ,如 图 8.6 所 示 。 使 
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8.5 使 用 RADIUS 验证 WLAN 
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WLAN 交 换 机 


WLAN 访 问 点 
网 络 交换 机 


NAS 服 务 器 
图 8.6 使 用 VPN 保护 WLAN 


用 VPN 保护 WLAN,WLAN 用 户 建立 通 向 访问 服务 器 的 隧道 ,加 密 所 有 在 用 户 和 网 络 间 
传输 的 通信 。WLAN 用 户 连 接 访 问 点 ,请 求 转发 给 NAS。NAS 处 理 数据 加 密 和 验证 ,并 
创建 隧道 。 一 旦 用 户 成 功 地 通过 NAS 服务 器 的 验证 ,隧道 就 建立 了 ,加 密 的 数据 就 可 以 在 
用 户 和 网 络 间 自 由 地 传输 。 

WLAN VPN 的 优势 之 一 是 多 数 操作 系统 都 支持 VPN 隧道 的 普通 客户 端 ( 如 PPTP、 
L2TP 和 IPSec) 。 

尽管 WLAN VPN 技术 很 好 ,上 且 许多 人 认为 是 企业 网 络 的 关键 ,但 它 仍然 存在 一 些 
足 。 如 在 NAS 服务 器 和 终端 用 户 机 器 上 都 要 建立 隧道 ,需要 额外 的 CPU 开销 。 如 果 网 络 
上 没 建立 VPN ,那么 建立 新 的 VPN 还 要 花费 很 多 时 间 和 费用 。 


6. IEEE 802.11i 


为 了 进一步 加 强 无 线 网 络 的 安全 性 和 保证 不 同 厂 家 之 间 无 线 安 全 技术 的 兼容 ,IEEE 
802. 11i 工作 组 开发 了 作为 新 的 安全 标准 IEEE 802. 11i, 并 且 致 力 于 从 长 远 角 度 考虑 解决 
IEEE 802. 11 无 线 局 域 网 的 安全 问题 。IEEE 802. 11i 标准 中 主要 包含 加 密 技 术 TKIP 
(temporal key integrity protocol, 暂 时 密 钥 集成 协议 )、AES(advanced encryption standard， 
高 级 加 密 标 准 ) 和 认证 协议 IEEE 802. 1x。 

(1) TKIP 

TKIP 设计 成 向 后 兼容 WEP, 并 且 人 允许 厂商 提供 对 硬件 产品 的 固件 升级 。 这 意味 着 公 
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司 将 可 以 在 现 有 设备 上 运行 TKIP, 而 不 必 购 买 所 有 新 的 设备 。TKIP 与 WEP 一 样 基于 
RC4 加 密 算 法 ,TKIP 将 WEP 密 钥 的 长 度 由 40 位 加 长 到 128 位 ,初始 化 向 量 的 长 度 由 24 
位 加 长 到 48 位 ,并 对 现 有 的 WEP 进行 了 改进 。TKIP 实际 是 封装 WEP 会 话 信 息 的 一 种 
方式 ,用 于 解决 与 WEP 有 关 的 伪 数据 包 、 转 播 攻 击 、 弱 密 钥 和 密 钥 的 重新 生成 等 安全 
问题 。 

802. 11i 工作 组 为 TKIP 开发 了 一 种 对 每 个 数据 包 都 加 密 钥 的 新 方法 。TKIP 使 用 一 
个 两 阶段 的 密 钥 生成 过 程 ,第 一 个 阶段 是 将 WLAN 网 卡 的 MAC 地 址 和 一 个 暂时 密 钥 结合 
起 来 生成 中 间 密 钥 ,第 二 个 阶段 将 中 间 密 钥 下 的 每 个 数据 包 的 序列 号 加 密生 成 一 个 128 位 
的 密 钥 。 因 为 暂时 密 钥 的 生命 期 (TTL) 短 ,在 这 个 过 程 重 新 开始 之 前 ,加 密 只 使 用 很 短 的 
时 间 , 因 此 攻击 者 要 解 开 密 钥 就 非常 困难 。 

TKIP 对 WEP 进行 的 改进 之 一 是 对 加 密 密 钥 的 管理 。TKIP 过 程 使 用 3 种 不 同 的 密 
钥 : 暂时 密 钥 ,加密 密 钥 和 管理 员 主 密 钥 。 因 为 当 WLAN 设备 和 访问 点 连接 或 重新 连接 时 
每 种 密 钥 都 必须 重 置 ,为 监视 这 个 过 程 ,TKIP 使 用 重 加 密 密 钥 报 文 。 重 加 密 密 钥 报 文保 证 
无 论 是 WLAN 设备 还 是 访问 点 都 不 能 重新 生成 前 面 通信 中 使 用 的 密 钥 。 

(2) AES 

802. 11i 工作 组 开发 的 第 二 种 封装 形式 是 基于 AES 的 。 因 为 AES 加 密 涉及 更 多 的 额 
外 操作 , 它 与 现存 的 大 多 数 设备 不 兼容 。 

AES 又 称 为 Rijndael 加 密 法 ,是 美国 联邦 政府 采用 的 一 种 区 块 加 密 标 准 。AES 是 美国 
政府 2001 年 11 月 公布 的 加 密 标 准 , 用 来 替代 原先 的 DES, 已 经 被 多 方 分 析 且 广 为 使 用 ,到 
2006 年 已 成 为 对 称 密 钥 加 密 中 最 流行 的 算法 之 一 。AES 达到 了 与 TKIP 同样 的 安全 标准 ， 
并 提供 更 高 级 别 的 加 密 。 

像 TKIP 一 样 ,AES 是 一 种 对 称 密 钥 密 码 , 即 加 密 和 解密 使 用 相同 的 密 钥 。AES 支持 
长 度 高 达 256 位 的 密 钥 ,该 长 度 是 TKIP 所 支持 密 钥 长 度 的 两 倍 。AES 以 128 位 数据 为 组 
加 密 长 度 , 当 数 据 包 大 小 不 是 128 位 的 倍数 时 ,就 填充 空位 补足 。 

(3) IEEE 802. 1x 认证 

IEEE 802. 1x 体系 包括 客户 端 .认证 系统 和 认证 服务 器 三 个 实体 。 客 户 端 是 接收 认证 
的 客户 端 ,如 WLAN 终端 (STA)。 在 无 线 网 络 中 认证 系统 就 是 无 线 接 入 点 或 具有 无 线 接 
入 点 功能 的 通信 设备 ,其 主要 作用 是 完成 用 户 认证 信息 (802. 1x 报 文 ) 在 客户 端 和 认证 服务 
器 之 间 的 传递 ,控制 用 户 是 否 可 以 接 入 到 网 络 中 。 一 般 普 遍 采 用 RADIUS 作为 认证 服务 
器 , 它 可 检验 客户 端的 身份 是 否 合法 ,通知 认证 系统 是 否 可 以 让 客户 端 接 入 。 

IEEE 802. 1x 并 不 是 专 为 WLAN 设计 的 , 它 已 经 在 有 线 网 络 中 被 广泛 应 用 。 使 用 这 
个 成 熟 的 认证 体系 ,确保 WLAN 安全 建立 在 一 个 成 熟 的 基础 之 上 ,实现 了 有 线 和 无 线 共 
用 认证 体系 。 为 了 适应 WLAN 的 特点 ,IEEE 802. 11i 对 IEEE 802. 1x 进行 了 增强 补充 ， 
包括 支持 EAPOL-Key 的 协商 过 程 等 ,以 帮助 完成 设备 端 和 客户 端 进行 动态 密 钥 协商 和 
管理 。 

IEEE 802. 1x 比较 适合 企业 应 用 环境 。 考 虑 到 家 庭 等 用 户 不 需要 部 署 RADIUS 来 实 
现 用 户 身份 认证 ,所 以 802. 11i 还 定义 了 预 共 享 密 钥 ,以 便 让 用 户 直接 在 WLAN 设备 和 无 
线 终端 上 配置 PMK(pairwise master key) 。 


290 


A 


网 络 安全 技术 与 应 用 实践 


@.3 无 线 网 络 的 安全 配置 实践 


8.3.1 无 线 网 络 路 由 器 配置 


把 路 由 器 接 人 无 线 网 络 并 与 计算 机 连接 在 一 起 后 ,可 通过 路 由 器 的 管理 界面 对 路 由 器 
进行 配置 。 

1. WAN 无 线路 由 器 的 基本 配置 Ge © 恒 全 了 Pm 

现 以 TP-LINK WR340G 路 由 器 为 例 介绍 “| 地 址 四 DE Visz 168.1.1/ 
无 线路 由 器 的 配置 ,过 程 如 下 : 

第 1 步 : 打开 I 下 浏览 器 ,在 “地址 栏 " 输 入 
192. 168. 1. 1, 按 回 车 键 后 会 弹出 一 个 要 求 输 
入 用 户 名 和 密码 的 对 话 框 ,输入 用 户 名 和 密 


TP-LINK Wireless Router WR340G 


用 记名 由: @ saninllo 
码 , 如 图 8.7 所 示 。 密码 D): [一 ] 
第 2 步 : 单 击 “ 确 定 ” 按 钮 后 ,进入 TP- 口 记 攻 我 的 宙 克 
LINK WR340G 路 由 器 管理 主 界面 ,如 图 8.8 所 
。 路 由 器 管理 主 界 面 左 侧 是 一 系列 管理 选 =m | 7m | 
项 ， 通过 这 些 选 项 。 可 以 对 路 由 器 的 运行 情况 


进行 管理 和 控制 。 图 8.7 登录 窗口 


人 @ 路 由 器 WEB 管理 软件 (Router WEB Manager) 便 产品 型 号 (Model No.) :TL-WR340G 


i 54 了 内 无比 寓 带路 由 器 
+ 安全 设置 54Mbps Wireless Broadband Router 


+ 路 由 功能 


。 符合 IEEE 802 11g 标 准 ， 兼容 IEEE 802 11b 标 蕉 ,无 线 速 宰 高 达 54N 

。 提供 64/126 位 YEP 数 据 加 安 

a ， 全 中 文 界面 , 本土 化 语言 挨 术 ,全程 配置 向 导 ， 简 单 易 用 

多 TP-LINK 宽 带路 由 *。 自行 研发 制造 ,自主 软件 知识 产权 ,保障 软件 不 断 免 费 升 级, 适合 将 来 更 高 
器 ,请 点 击 查 看 > 层次 和 更 新 要 求 


技术 何 限 公司 
Tt 


图 8.8 TL-WR340G 路 由 器 管理 主 界面 


第 3 步 : 第 一 次 进入 路 由 器 管理 界面 ,或 在 路 由 器 管理 主 界面 单 击 左 侧 菜单 中 的 “设置 向 
导 ? 选 项 ,会 弹出 一 个 “设置 向 导 ? 对 话 框 , 如 图 8. 9 所 示 , 单 击 "下 一 步 ? 按 钮 ,进入 设置 向 导 。 
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用 这 个 向 导 ， 您 可 以 设置 上 网 所 需 的 基本 网 络 参数 。 即 使 次 对 网 络 知识 和 这 个 
产品 不 太 熟 悉 ， 您 也 可 以 按照 提示 轻松 地 完成 设置 。 如 果 您 是 一 位 专家 ,您 也 
可 以 退出 这 个 向 导 程序 ,直接 到 荣 单项 中 选择 您 需要 修改 的 设置 项 进行 设置 
要 继续 ,请 单 击 “ 下 一 步 ”。 
要 退出 设置 向 导 ， 请 单 击 “ 退 出 向 导 ”- 

回 下 次 登录 不 再 自动 弹出 向 导 


[Rs] [FS] 


图 8.9 “设置 向 导 ” 对 话 框 


第 4 步 : WAN 口 设置 。 在 弹出 的 如 图 8. 10 所 示 的 “WAN 口 设置 ?对 话 框 中 ,用 户 需 
要 按 实际 情况 选择 使 用 的 上 网 方式 ,这 是 极为 重要 的 一 步 。 在 “WAN 口 连接 类 型 "的 下 拉 
列表 框 中 ,选择 PPPoE 选项 ,在 * 上 网 账号 "和 “上 网 口令 ”文本 框 中 分 别 输 入 对 应 的 用 户 名 
和 密码 。 由 于 ADSL 可 以 自动 分 配 IP 地 址 和 DNS 服务 器 ,所 以 这 两 项 都 不 用 填写 。 直 接 
在 对 应 连接 模式 中 ,选择 “自动 连接 ”选项 ,这 样 一 开机 就 可 以 连 入 网 络 ,大 大 提高 了 效率 。 
设置 完成 后 , 单 击 * 保 存 ? 按 钮 保存 设置 内 容 。 


WN 口 连接 类 型 : PPPoE 司 
上 网 账号 : us 


上 网 口令 : 区 


四 
如 果 正常 拨号 模式 下 无 法 主 接 成 功 ， 请 依次 尝试 下 列 模 式 中 的 特殊 所 号 模式 ; 
他 正常 执导 模式 
个 特殊 拨号 模式 1 
个 特殊 拨号 模 式 2 


根据 低 的 需要 ， 请 选择 对 应 的 连接 模式 : 
G6 按 需 连接 ， 在 有 访问 时 自动 连接 
自动 断 肉 等 竺 时 间 : [15 ] 分 (0 表示 不 自动 断 线 
自动 注 接 ,在 开机 和 断 线 后 自动 注 接 
定时 连接 ,在 指定 的 8j 间 眉 自 动 演 按 


注意 : 只 有 当 悠 到 “系统 工具 ”菜单 的 “时 间 设 置 ” 项 设置 了 当前 时 间 后 ，“ 定 
时 连接 ”功能 才能 生效 。 


连接 时 段 : 从 [0 ] 时 [0 ] 分 下 [23 时 [53 有 


C 手动 连接 ， 由 用 户 手动 连接 
自动 断 贱 等 竺 时 间 : (0 表示 不 自动 断 线 ) 


图 8.10 “WAN 口 设置 ”对话 框 


在 此 需要 说 明 的 是 ,如 果 不 是 包月 用 户 ,推荐 使 用 “手动 连接 ” ,避免 网 费 超支 。 

第 5 步 : 路 由 器 的 DHCP 功能 设置 。DHCP 是 路 由 器 的 一 个 特殊 功能 ,使 用 DHCP 可 
以 避免 因 手 工 设置 IP 地 址 和 子 网 掩 码 所 产生 的 错误 ,也 可 避免 把 一 个 IP 地 址 分 配给 多 台 
客户 机 所 造成 的 地 址 冲突 。 使 用 DHCP 不 但 能 大 大 缩短 配置 或 重新 配置 网 络 中 客户 机 所 
花费 的 时 间 , 而 且 通 过 对 DHCP 服务 器 的 配置 ,还 能 灵活 地 设置 地 址 的 租 期 。 
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单 击 图 8. 8 所 示 管 理 主 界 面 左 侧 的 “DHCP 服务 器 ”选项 ,弹出 *DHCP 服务 ”对 话 框 ， 
如 图 8. 11 所 示 。 单 击 “ 启 用 ”选项 ,“ 地 址 池 开 始 地 址 ”和 “地 址 池 结 束 地 址 ”选项 分 别 为 
192. 168.1.X 和 192. 168.1.Y(X<Y,X 不 能 是 0 和 1,Y 不 能 是 255) ,在 此 输入 确定 X、Y 
后 的 IP 地 址 。 设 置 完 毕 后 , 单 击 “ 保 存 ” 按 钮 。 

在 进行 上 述 设 置 后 ,只 要 打开 网 络 中 的 任何 一 台 计 算 机 ,启动 下 浏览 器 ,就 可 以 上 
网 了 。 


本 路 由 器 内 建 UACF 服 务 器 ， 它 能 自动 区 修配 置 局 域 网 中 各 计算 机 的 TCP/IF 协 
DHCP 服 务 器 : 个 不 启用 售 启 用 
地 址 池 开 始 地 址 : 。 [192. 168. 1. 100 
地 址 池 结 束 地 址 : [192. 168. 1.199 
地 址 租 期 120 | 分钟 5 1~2660 分 钟 ， 缺 省 为 120 分 钟 》 
网 关 : 0.0.0.0 (可 选 ) 
缺 省 域名 : (可 选 》 
主 nNS 服 务 器 : 0.0.00 (5 可 选 ? 
备用 DNS 服务 器 : [0.0.00 (5 可 选 ) 
[区 友 ] [帮助] 


图 8.11 “DHCP 服务 "对话 框 


2. LAN 无 线路 由 器 配置 


现 以 TP-LINK TL-WR541G( 局 域 网 无 线 宽带 路 由 器 ) 为 例 介绍 WLAN 路 由 器 的 配 
置 。 该 配置 实践 主要 分 为 设备 选取 和 参数 配置 两 大 过 程 。 无 线 网 卡 选 取 的 是 TL- 
WN510G/550G/610G/650G 系列 产品 。 

第 1 步 : 将 电脑 他 设 成 192.168.1.3, 子 网 掩 码 设 成 255. 255. 255. 0, 网 关 为 192. 168. 1. 1 。 
在 IE 中 输入 http://192. 168. 1. 1 , 按 回 车 键 后 进入 如 图 8.7 所 示 的 管理 员 登 录 界 面 。 
TP-LINK 设备 的 用 户 名 和 密码 一 般 都 是 admin。 单 击 * 确 定 ” 按 钮 后 ,进入 如 图 8. 12 所 示 
TL-WR541G 路 由 器 管理 主 界面 。 


全 路 由 器 Web 管 理 钦 件 (Router Web Managar) 贸 产 品 型 号 (Model No)，TLWR5; 


54M 无 线 宽 涡 路 由 器 


54Mbps Wireless Broadband Router 


。 符合 TEE 802 11z 奈 准 ， 委 罕 IPIF 02 11b 东 淮 
和 Nk 域 展 杞 无 赣 半 入 技术 ， 传 科 是 高 是 共通 11b，115 品 HI23 
恒 扩 展 到 4 一 < 入 
， 各行 研发 制 符 , 自 三 稀 种 知识 产权 ,保卫 软件 不 断 免 坦 升 灌 ,适合 将 来 更 高 
更 多 Tz-LIK 本 首 陆 出 时 次 和 更 新 委 示 
强 ， 请 点 击 查 看 》》 


图 8.12 TL-WR541G 路 由 器 管理 主 界面 
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第 2 步 ; 由 此 可 容易 地 设置 LAN 口 参数 ,如 图 8. 13 所 示 。 


本 页 设置 LAN 口 的 基本 网 络 参数 。 

MAC 地 址 : 00-0A-EB-BE-FO-E4 
I 
子 网 掩 码 : 255.255.255.0 国 


注意 : 当 LANDIF 参 数 ( 包括 IF 地 址 、 子 网 掩 码 ) 发 生 支 更 时 ， 为 确保 DHCF 
sarver 能 够 正常 工作 ,应 保证 DHCF server 中 设置 的 地 址 油 、 静 态 地 址 与 新 
的 LAN 口 IP 是 处 于 同一 网 段 的 ， 并 请 重启 路 由 器 。 


[ 雄 夺 ] [ 柄 酚 | 
图 8.13 “LAN 口 设置 "对 话 框 


第 3 步 : 设置 无 线 参数 。 进 入 TL-WR541G 后 在 “无 线 网 络 基 本 设置 "界面 默认 配置 ， 
如 图 8. 14 所 示 。 


无 名 同 络 基本 设置 
本 页 面 设置 路 由 器 无 线 网 络 的 基本 参数 和 安全 认证 选项 。 
频段 : lis 
模式 : 5onps (802.11g) 圈 | 
回 开启 无 线 功能 
回 fifssTD 广 播 


[局 二 一 -一 一 下 


图 8. 14 “无 线 网 络 基本 设置 "对 话 框 


选择 无 线 参数 ,基本 设置 有 SSID 号 ,频段 .模式 默认 ,开启 无 线 功能 ,允许 SSID 广播 等 
。 各 参数 含义 如 下 

。 SSID 号 : 用 于 识别 无 线 设备 的 服务 集 标志 符 。 无 线路 由 器 就 是 用 该 参数 来 标识 自 
己 ,以 便 无 线 网 卡 区 分 不 同 的 无 线路 由 器 连接 。 该 参数 是 由 无 线路 由 器 来 决定 而 不 
是 由 无 线 网 卡 决定 的 。 如 无 线 网 卡 周围 有 A 和 B 两 个 无 线路 由 器 ,分 别 用 SSID A 
和 SSID B 标识 ,这 时 候 无 线 网 卡 如 何 连接 , 则 要 通过 SSID 标识 符 来 分 辨 。 这 里 默 
认 SSID 就 是 TP-LINK 。 
频段 : 用 于 确定 本 网 络 工作 的 频率 段 , 选 择 范 围 为 1 一 13, 默 认为 6。 要 注意 的 是 ， 
假设 相 邻 用 户 也 使 用 无 线 网 络 , 且 同样 使 用 频道 6, 则 为 了 减 小 两 个 无 线路 由 器 之 
间 的 无 线 干 扰 , 可 以 考虑 将 这 个 参数 更 改 为 1 或 13 都 可 以 。 
模式 : 该 参数 用 来 设置 无 线路 由 器 的 工作 模式 ,这 里 有 54Mb/s (802. 11g) 和 
11Mb/s (802. 11b) 两 个 可 选项 ,一 般 选 择 默认 参数 。 
开启 无 线 功 能 : 使 TL-WR541G 的 无 线 功能 打开 和 关闭 。 
允许 SSID 广播 : 默认 情况 下 无 线路 由 器 都 是 向 周围 空间 广播 SSID 通告 自己 的 存 
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在 ,这 种 情况 下 无 线 网 卡 都 可 以 搜索 到 该 无 线路 由 器 的 存在 。 如 果 将 该 复 选 框 里 的 
勾 去 掉 , 也 就 是 无 线路 由 器 不 进行 SSID 的 广播 ,此 时 无 线 网 卡 就 无 法 搜索 到 无 线路 
由 器 了 。 
在 确定 以 上 默认 设置 后 ,给 TL-WR541G 加 电 时 ,就 会 在 TL-WR541G 周围 生成 一 个 
无 线 网 络 ,这 个 网 络 的 SSID 标识 符 就 是 TP-LINK ,工作 信道 是 6, 网 络 没 有 加 密 。 这 时 一 
个 没有 加 密 的 无 线 网 络 就 存在 于 WR541G 周围 了 ,可 以 提供 给 无 线 网 卡 来 连接 。 
第 4 步 : 因 企 业内 部 网 有 DHCP 服务 器 ,因此 将 此 无 线路 由 器 的 DHCP 功能 关闭 。 
第 5 步 : 设置 远程 Web 管理 端口 及 用 户 登录 密码 。 


8.3.2 无 线路 由 器 的 防火 墙 功能 设置 


使 用 路 由 器 ,用 户 可 以 对 局 域 网 内 部 各 客户 机 的 上 网 情况 进行 监控 和 管理 。 通 过 开放 
不 同 的 权限 ,可 以 控制 某 些 计算 机 屏蔽 某 些 网 站 和 E-mail。 利 用 路 由 器 的 防火 墙 功能 即 可 
对 网 络 进行 安全 和 监控 管理 。 

下 面 介绍 路 由 器 的 防火 墙 功能 设置 ,帮助 网 络 管理 员 实 现 路 由 器 的 监管 功能 。 

单 击 图 8. 8 所 示 路 由 器 管理 主 界面 左 侧 的 “安全 设置 ”选项 ,在 展开 的 菜单 中 选择 “防火 
墙 设置 ”, 打 开 如 图 8. 15 所 示 的 “防火 墙 设置 ”对话 框 。 这 是 一 个 总 开关 的 设置 页 面 ,凡是 不 
用 的 功能 就 不 要 勾 选 ,在 可 选项 里 打 勾 表示 开启 了 该 功能 。 


本 页 对 防火 墙 的 各 个 过 小 功能 的 开局 与 关闭 进行 设置 。 只 有 防火 墙 的 总 开关 是 开局 的 时 候 ， 后 续 的 
“IF 地 址 过 源 ”、“ 域 名 过 源 ”、 “MAC 地 址 过 源 ”、“ 高 级 安全 设置 ” 才能 够 生效 ， 反 之, 则 
失效 。 


克 开 局 防火 墙 ( 防火 墙 的 总 开关 ) 


厢 开局 TP 地 址 过 活 


缺 省 过 小 规则 
个 ”凡是 不 符合 已 设 全 地址 过 洲 规 则 的 数据 包 ,人 允许 通过 本 路 由 器 
仓 。 几 是 不 符合 已 设 I? 地 址 过 涛 规则 的 数据 包 ， 禁止 通过 本 路 由 器 


克 开启 域名 过 尖 


厅 开启 MAC 地 址 过 源 


缺 省 过 涛 规则 
C” 忆 克 许 已 设 HA 地 址 列表 中 已 启用 的 MAC 地 址 访问 Internet 
他。 禁止 已 设 WAC 地 址 列表 中 已 启用 的 MAC 地 址 访问 Internet ,允许 其 地 MAC 地 址 访问 Internet 


区 而 | 匡 丙 ] 


图 8.15 “防火 墙 设置 "对 话 框 
“防火 墙 的 总 开关 ”下 方 是 几 个 路 由 器 的 过 滤 功 能 项 ,其 中 含有 两 个 “ 缺 省 过 滤 规 则 ”。 
1. IP 地 址 过 滤 


图 8. 16 所 示 是 “IP 地 址 过 滤 ? 设 置 页 面 , 用 户 可 以 对 * 缺 省 过 滤 规 则 ?进行 添加 。 单 击 
“添加 新 条 目 ?按钮 ,进入 具体 的 规则 设置 页 面 。 在 该 页 面 中 ,可 以 限制 卫 地 址 是 192. 168. 1.7 
的 计算 机 只 能 登录 www. tp-link. com. cn 网 站 ,而 不 能 登录 别 的 网 站 。 
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以 下 列表 为 已 设 的 TP 地 址 过 小 列表 次 可 以 利用 按钮 一 一 “添加 新 条 目 ”来 增加 新 的 过 尖 规 则 ; 或 者 通过 “ 编 
辑 ”、“ 出 除 ” 链 接 来 修改 或 删除 旧 的 过 小 规则 ; 其 至 可 以 通过 按钮 一 一 “移动 ”来 调整 各 条 过 泥 规 则 的 顺序 ， 以 
达到 不 同 的 过 涛 忧 先 级 。 


防火 墙 相关 设置 ( 加 项 更 疏 ,请 到 “安全 设置 ”一 “防火 墙 设置 ”) 
防火 墙 功能 : 开局 


功 | 生效 时 间 局 域 网 IF 地 址 。 | 端口 厂 域 风 IF 地 址 端口 | 协议 | 通过 | 状态 配置 

1 | 0830-1800 192.168.1.7 = 25 |AL | 否 | 生效 | 编 各 出 除 
2 | 0630-1600 192. 168.1.7 = 110 | NL | 否 | 生效 | 六 经 晶 除 
3 | 0830-1800 192. 168.1.8 - 202, 96. 134. 12 - |AL | 否 | 生效 | 编辑 删除 


[EE 


图 8.16 “IP 地 址 过 滤 ? 对 话 框 


在 “局 域 网 IP 地 址 ”后 输入 要 限制 的 计算 机 的 IP 地 址 192. 168. 1.7, 在 “广域网 IP 地 
址 ?后 输入 www. tp-link. com. cn 域名 所 对 应 的 公 网 IP 地 址 ,如 219. 134. 132. 21。“ 协 议 ” 
默认 为 ALL,“ 通 过 ”默认 为 禁止 。 因 为 默认 过 滤 规 则 是 禁止 不 符合 设 定 规则 的 数据 包 通 过 
路 由 器 ,所 以 符合 设 定 规则 的 数据 包 允 许 通过 。“ 状 态 ”" 则 设 为 生效 ,设置 后 “保存 ”起 来 ,如 
图 8. 17 所 示 。 


本 页 添加 新 的 、 或 者 修改 | 上 6 的 TP 地 址 过 小 规则 。 


生效 时 间 : [7] - E5 可 
局 域 网 TP 地 址 : 192 168.1.7 = 
局 域 网 端口 : 区 ] 
广域网 TP 地 址 : 站 
广域网 端口 : 5 ]- ] 
四 汉 Ea 
通过 ; 禁止 通过 ~ 
状态 : ESR] 

[EE [到 玖 ] 


图 8.17 “IP 地 址 过 滤 ? 对 话 框 


保存 后 ,设置 好 的 规则 就 会 显示 在 过 滤 规 则 条 目 中 ,可 以 通过 单 击 其 后 的 “修改 5 和"* 删 
除 ? 对 其 运行 状态 进行 调整 ,如 图 8. 18 所 示 。 


功 | 生效 时 间 局 域 网 TF 地 址 。 | 端口 广域网 TP 地 址 端口 | 协议 | 通过 | 状态 配置 

1 | 0830-1800 192.168.1.7 3 六 25 | AL | 否 | 生效 | 编辑 出 除 
2 | 0830-1800 192.168.1.7 = - 110 | AIL | 否 | 生效 | 编辑 删除 
3 | 0830-1800 192.168.1.8 - 202. 98. 134. 12 - | AL | 否 | 生效 | 编辑 出 除 


图 8.18 IP 过 滤 规 则 列表 
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2. 域名 过 滤 


在 图 8. 18 中 “开启 域名 过 滤 ” 前 打 勾 并 保存 ,在 “域名 过 滤 ” 页 面 就 可 以 对 要 过 滤 的 域名 
进行 添加 了 ,如 图 8. 19 所 示 。 如 果 要 禁止 内 部 局 域 网 接收 hotmail 邮件 ,可 以 进行 以 下 
操作 。 


本 页 通过 域名 过 沽 来 限制 局 域 网 中 的 计算 机 对 某 些 网 站 的 访问 。 | 
| 
防火 墙 相关 设置 ( 如 需 更 疏 ,请 到 “安全 设置 ”一 “防火 墙 设置 ”) | 
防火 墙 功能 : 开局 
域名 过 小 功能 : 开局 
功 | 生效 时 间 域名 状态 配置 
1 | 0830-1800 ow, yahoo. com. cn 生效 | 编辑 出 除 
2 | 0830-2400 Sina com 生效 | 编辑 出 除 
3 | 0830-1800 net 生效 | 编辑 出 除 
[对 条 目 | | 使 所 有 条 目 生 欢 “| | 使 所 有 条 目 夫 效 “| [， 翻 辽 所 有 条 目 
| = 匡 梧 


图 8.19 “域名 过 滤 ? 对 话 框 


第 1 步 : 单 击 * 添 加 新 条 目 ” 按 钮 ,进入 具体 的 规则 设置 页 面 。 

第 2 步 : 在 “域名 " 框 输入 hotmail 的 域名 ,状态 ?选择 生效 , 单 击 “使 所 有 条 目 生 效 ? 按 
钮 确认 设置 条 目 后 ,就 可 以 在 “域名 过 滤 ” 页 面 看 到 设置 好 的 规则 了 。 此 后 ,在 局 域 网 中 的 计 
算 机 就 不 能 再 登录 hotmail 接收 邮件 了 。 


3. MAC 地 址 过 滤 


在 图 8. 15 中 “开启 MAC 地 址 过 滤 ” 前 打 勾 并 保存 ,可 进入 MAC 地 址 过 滤 页 面 。MAC 
地 址 过 滤 和 域名 过 滤 功 能 设置 过 程 基本 相同 ,都 是 先 打开 该 功能 , 填 和 人 要 过 滤 的 项 ,并 启用 
相应 规则 , 即 可 限制 对 有 些 网 站 (域名 ) 的 访问 ,如 暴力 网 站 ,不 健康 网 站 等 。 


回 题 和 思考 是 


一 、 问 答题 

1. 什么 是 扩 频 技术 ? 什么 是 3G 技术 ? 3G 技术 有 哪些 标准 ? 

2. 简 述 3G 的 安全 目标 。 

3. CDMA 的 主要 特点 是 什么 ? 

二 、 填空 题 

1. 无 线 广域网 的 主要 支持 技术 有 ( ) 技 术 、( ) 技 术 、( ) 技 术 和 WEP。 

2. 保护 传送 中 的 无 线 数据 安全 的 最 好 办 法 是 进行 ( We 

3. 我 国 的 GSM 标准 有 ( ) 和 ( ) 两 个 频段 。 

4. WEP 协议 是 对 在 两 台 设备 间 无 线 传输 的 数据 进行 ( ) 的 技术 ,可 用 以 防止 非法 
用 户 窃听 或 侵入 无 线 网 络 。 


5. IEEE 802. 11i 标准 中 主要 包含 加 密 技 术 ( 


三 、 单 项 选择 题 

1. TD-SCDMA 是 (1)( 
GPRS 是 (4)( ) 技 术 。 

(1) A. 1.5G 


(3) A. 1.5G 
(4) A. 1.5G 


四 、 实 验 题 
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JS ) 和 认证 协议 ( Ws 


) 技 术 ,CDMA 是 (2)( ) 技 术 ,GSM 是 (3)( ) 技 术 ， 


B. 2G 
(2) A. 1.5G B. 
也 
B. 


2G 


. 2G 
.2G 
2. 以 下 ( ) 项 是 3G 技术 提供 的 安全 性 特征 。 
A. 用 户 身份 认证 密 钥 不 可 变 

C. 多 种 新 业务 及 不 同业 务 的 并 发 支持 


B. 
I 


NnNnnNnnN 


2.5G D. 3G 
2.5G D. 3G 
2.5G D:; 36 
2.5G Dr 3G 
无 消息 完整 性 认证 

单 向 身份 认证 


无 线 LAN 配置 实验 : 参考 相关 设备 的 使 用 手册 ,对 WLAN 路 由 器 .路 由 器 的 防火 墙 功 


能 和 无 线 网 卡 进行 配置 。 


电子 邮件 安全 与 应 用 实 员 


中 


电子 邮件 已 成 为 人 们 日 常生 活 和 工作 中 不 可 缺少 的 工具 和 手段 。 随 着 Internet 的 发 展 
和 电子 邮件 的 广泛 应 用 ,垃圾 邮件 .邮件 炸弹 .邮件 病毒 等 影响 邮件 安全 的 事件 屡屡 发 生 , 因 
此 电子 邮件 的 安全 问题 也 突显 出 来 ,受到 人 们 的 广泛 关注 。 

电子 邮件 的 安全 问题 主要 包括 两 个 方面 : 一 方面 是 电子 邮件 服务 器 的 安全 ,包括 网 络 
安全 和 如 何 从 服务 器 端 防范 垃圾 邮件 病毒 邮件 和 钓鱼 邮件 等 ,这 是 电子 邮件 服务 的 基本 要 
求 ; 另 一 方面 是 如 何 确保 用 户 的 电子 邮件 内 容 不 被 窃取 、 算 改 和 防止 非法 用 户 登 录 合 法 用 
户 的 电子 邮件 账号 。 


6.i 电子 邮件 的 安全 漏洞 与 威胁 


电子 邮件 服务 十 分 脆弱 ,用 户 向 另 一 个 人 发 送 E-mail 时 ,不 仅 信件 像 明信片 一 样 是 公 
开 的 ,而 且 也 不 知道 在 到 达 目 的 地 之 前 ,信件 经 过 了 多 少 节点 。E-mail 服务 器 向 全 球 开 放 ， 
它们 很 容易 受到 黑客 的 袭击 ; Web 提供 的 阅读 器 也 容易 受到 类 似 的 侵袭 。Internet 像 一 个 
蜂 蛛 网 ,E-mail 到 达 收 件 人 之 前 ,会 经 过 很 多 机 构 和 ISP, 因 此 任何 人 ,只 要 可 以 访问 这 些 服 
务 器 或 访问 E-mail 经 过 的 路 径 , 就 可 以 阅读 这 些 信息 。E-mail 存在 如 下 一 些 安全 漏洞 。 


1. 电子 邮件 病毒 


电子 邮件 病毒 实际 上 与 普通 病毒 一 样 ,只 不 过 是 因为 传播 途径 主要 是 通过 电子 邮件 。 
邮件 病毒 通常 是 被 附加 在 邮件 的 附件 中 , 当 用 户 打开 邮件 附件 时 , 它 就 侵入 了 用 户 计 算 机 。 
如 今 ,电子 邮件 也 正成 为 病毒 传播 的 主要 途径 之 一 。 由 于 恶意 者 可 同时 向 多 个 用 户 或 整个 
计算 机 系统 群发 电子 邮件 ,一 旦 一 个 站 点 感染 病毒 ,病毒 邮件 就 会 在 短 时 间 内 大 规模 地 复制 
和 传播 ,因此 整个 系统 就 会 迅速 感染 ,从 而 可 能 导致 邮件 服务 器 资源 耗 尽 ,并 严重 影响 网 络 
运行 。 部 分 病毒 甚至 可 能 破坏 用 户 本 地 硬盘 上 的 数据 和 文件 。 

电子 邮件 病毒 的 传播 速度 快 ,传播 范围 广 , 绝 大 多 数 电子 邮件 病毒 都 有 自我 复制 能 力 。 
电子 邮件 中 的 木马 病毒 ,一 旦 被 打开 并 运行 就 可 能 破坏 主机 系统 的 数据 或 将 计算 机 变 成 可 
被 远程 控制 的 “肉鸡 ”, 甚 至 导致 收 件 人 经 济 上 的 巨大 损失 。 


2. 电子 邮件 炸弹 
电子 邮件 炸弹 是 指 发 送 者 以 来 历 不 明 的 邮件 地 址 ,重复 地 将 电子 邮件 邮寄 给 同一 个 收 
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信人 。 由 于 这 就 像 战 争 中 利用 某 种 战争 工具 对 同一 个 地 方 进行 狂 友 滥 炸 一 样 ,因此 称 为 电 
子 邮 件 炸弹 。 这 种 以 重复 的 信息 不 断 地 进行 的 电子 邮件 友 炸 操作 ,可 以 消耗 大 量 的 网 络 资 
源 。 因 为 互联 网 上 网 络 主 机 系统 分 配给 一 般 账户 的 硬盘 容量 是 有 限 的 ,而 在 这 有 限 的 容量 
中 ,除了 要 处 理 电子 邮件 外 ,一 般 还 会 用 来 下 载 软件 或 存储 个 人 主页 等 。 用 户 如 果 在 短 时 间 
内 收 到 大 量 的 电子 邮件 ,总 容量 将 超过 用 户 电子 邮箱 所 能 承受 的 负荷 。 这 样 , 用 户 的 邮箱 不 
仅 不 能 再 接收 其 他 人 寄 来 的 电子 邮件 ,也 会 由 于 * 超 载 ? 而 导致 用 户 端的 电子 邮件 系统 功能 
瘫痪 。 

有 些 用 户 可 能 会 想到 利用 电子 邮件 的 回复 和 转发 功能 还 击 , 将 整个 炸弹 “回复 ”给 发 送 
者 。 但 如 果 对 方 将 邮件 的 From 和 To 都 改 为 用 户 的 电子 邮件 地 址 ,可 想 而 知 这 种 “回复 ”的 
后 果 是 所 还 击 的 “炸弹 ”都 会 “反弹 ”回来 * 炸 ”自己 。 如 果 邮 件 服务 器 接收 到 大 量 的 重复 信息 
和 “反弹 ”信息 ,邮件 总 容量 迅速 膨胀 ,有 可 能 导致 邮件 服务 器 瘫痪 。 即 使 是 邮件 系统 还 能 工 
作 , 但 也 会 变 得 非常 迟钝 ,电子 邮件 处 理 的 速度 会 很 慢 。 


3. 垃圾 邮件 


垃圾 邮件 ,顾名思义 就 是 不 请 自 来 的 .大量 散发 的 .对 接收 者 无 用 的 邮件 。 垃 圾 邮件 是 
未 经 收 件 者 同意 , 即 大 量 散发 的 邮件 ,邮件 内 容 多 半 以 促销 商品 为 目的 。 它 们 可 能 是 某 些 有 
商业 企图 的 人 想 利用 Internet 散播 广告 或 色情 的 媒介 。 垃 圾 邮件 虽然 不 像 病毒 感染 一 样 是 
一 种 明显 的 威胁 ,但 可 以 很 快 充满 用 户 的 收 件 箱 , 使 用 户 难以 接收 合法 的 电子 邮件 。 垃 圾 邮 
件 还 是 钓鱼 者 和 病毒 制造 者 喜欢 的 传播 媒介 。 

严格 说 来 ,垃圾 邮件 是 一 种 璋 穷 行为 。 传 送 者 只 需 花 极 少 的 代价 即 可 造成 收 件 者 的 重 
大 损失 。 假 设 一 个 人 在 每 星期 收 到 几 十 封 垃圾 邮件 ,个 人 用 户 的 损失 并 非 立 即 显现 ,但 若 企 
业内 每 个 人 都 收 到 此 类 信件 时 ,这 对 企业 网 络 环境 的 影响 就 不 仅仅 是 一 件 麻 烦 事 了 。 这 些 
垃圾 邮件 对 企业 无 任何 益处 ,但 是 SMTP 服务 器 却 要 承担 这 些 邮 件 的 处 理 和 转发 工作 。 网 
络 资源 被 这 些 毫 无 价值 的 信件 利用 来 分 类 ,储存 和 寄 发 ,而 那些 真正 对 接收 者 有 用 的 、 含 有 
重大 商机 的 邮件 却 被 淹没 在 垃圾 邮件 中 。 垃 圾 邮件 除了 浪费 网 络 资源 外 ,更 令 人 担心 的 是 
其 附件 文件 可 能 夹带 病毒 , 这些 病 毒 将 会 危害 企业 网 络 ; 附件 网 址 可 能 附加 Java 或 
ActiveX 等 恶性 程序 ,许多 木马 病毒 就 会 借 此 大 量 扩散 。 可 以 想象 ,如 果 让 这 些 未 经 许可 的 
垃圾 邮件 继续 为 所 和 欲 为 ,将 造成 企业 多 大 的 损失 。 


4. Web 信箱 的 漏洞 


Web 信箱 是 通过 浏览 器 访问 的 ,部 分 技术 水 平 不 高 的 站 点 存在 着 严重 的 安全 漏洞 。 比 
如 用 户 在 公共 场所 (例如 网 吧 ) 上 网 浏览 自己 的 邮件 时 , 当 关 掉 当 前 浏览 页 面 离开 后 ,别人 即 
可 利用 浏览 器 做 简单 操作 后 就 可 看 到 用 户 刚才 浏览 过 的 邮件 。 如 果 用 户 在 该 机 器 上 注册 了 
新 的 信箱 ,其 个 人 资料 就 会 很 容易 地 泄密 。 


heh 
Ee 


5. 网 络 钓鱼 


网 络 钓鱼 (phishing) 是 通过 大 量 发 送 声 称 来 自 于 银行 或 其 他 知名 机 构 的 欺骗 性 垃圾 邮 
件 , 引 诱 收 信 人 给 出 敏感 信息 的 一 种 攻击 方式 。 攻击 者 利用 欺骗 性 的 电子 邮件 和 伪造 的 
Web 站 点 来 进行 网 络 诈骗 活动 .受骗 者 往往 会 泄露 自己 的 私人 资料 (如 信用 卡号 .银行 卡 账 
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号 ,身份 证 号 等 内 容 )。 诈 骗 者 通常 会 将 自己 伪装 成 网 络 银行 、 在 线 零售 商 和 信用 卡 公司 等 
可 信 的 品牌 ,骗取 用 户 的 私人 信息 。 


6. 密码 问题 


很 多 人 都 在 强调 密码 的 重要 性 ,然而 事实 上 ,很 多 用 户 设置 的 邮箱 密码 都 是 很 简单 、 可 
猜测 的 。 如 果 要 想 设置 一 个 好 的 密码 ,就 要 站 在 一 个 破解 者 的 角度 去 思考 。 破 解 者 最 容易 
想到 的 是 人 的 生日 .用 户 名 、 电 话 号 码 、 信 用 卡号 码 、 各 种 执照 或 证 书号 码 等 ,虽然 这 些 是 人 
们 生活 中 最 容易 记 住 的 ,但 也 是 最 容易 被 别人 猜 到 的 。 如 果 选 择 的 密码 在 字母 中 夹杂 一 些 
数字 和 符号 ,其 安全 性 就 要 好 得 多 。 


7. 监听 问题 


邮件 监听 可 分 为 局 域 网 内 的 监听 和 来 自信 箱 内 部 的 监听 两 种 方式 。 一 般 , 使 用 嗅 探 器 
可 对 局 域 网 内 传输 的 数据 进行 监听 。 因 为 POP3 协议 通常 是 明文 传输 ,所 以 很 容易 就 被 嗅 
探 器 嗅 探 到 邮箱 密码 。 而 使 用 浏览 器 进行 收发 邮件 就 显得 相对 安全 一 些 。 当 用 户 密码 被 破 
解 之 后 ,攻击 者 并 没有 修改 密码 ,而 是 把 信箱 设置 成 转发 邮件 到 攻击 者 的 信箱 ; 然后 再 在 他 
的 信箱 中 设置 转发 邮件 到 这 个 被 破解 密码 的 信箱 ,同时 设置 保留 备份 ”。 这 样 攻击 者 就 可 
以 完全 控制 该 信箱 的 流量 了 ,因为 当 他 想 让 用 户 收 邮件 时 就 转发 ,否则 就 取消 转发 ,这 种 方 
法 相当 隐蔽 。 

8. 缓存 的 危险 


用 下 浏览 器 在 浏览 网 页 时 ,会 在 硬盘 上 开 一 个 临时 交换 空间 ,这 就 是 缓存 。 绥 存 可 能 
成 为 攻击 者 的 目标 ,因为 有 些 信 箱 使 用 Cookie 程序 (浏览 器 中 一 种 用 来 记录 访问 者 信息 的 
文件 ) 并 以 明文 形式 保存 密码 ,同时 浏览 过 的 所 有 网 页 都 存在 缓存 内 ,如 果 缓 存 被 复制 ,用 户 
的 私人 信息 就 不 存在 秘密 了 。 


9. 冒名 顶替 


由 于 普通 的 电子 邮件 缺乏 安全 认证 ,所 以 冒充 别人 发 送 邮件 并 不 是 难事 。 如 果 用 户 不 
想 让 别人 冒充 自己 名 义 发 送 邮 件 , 可 以 采用 数字 证 书 发 送 签名 /加 密 邮件 ( 见 4. 5.2 小 节 )， 
这 种 方式 已 经 被 证 明 是 解决 邮件 安全 问题 的 好 办 法 。 


6.2 电子 邮件 的 安全 策略 和 保护 措施 

用 户 为 保证 邮件 本 身 的 安全 及 电子 邮件 系统 的 安全 性 ,可 采用 如 下 安全 策略 和 保护 
措施 。 

1. 防范 电子 邮件 病毒 


对 电子 邮件 系统 进行 病毒 防护 可 从 以 下 几 个 方面 着 手 。 
(1) 思想 上 要 有 防 病毒 意识 
首先 不 要 轻易 打开 陌生 人 来 信 中 的 附件 ,尤其 是 一 些 . exe、. com 类 的 可 执行 文件 ,因为 
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这 些 附件 极 有 可 能 带 有 计算 机 病毒 或 黑客 程序 ,运行 后 会 带 来 不 可 预测 的 后 果 ; 其 次 ,对 于 
比较 熟悉 的 朋友 发 来 的 电子 邮件 ,如 果 带 有 附件 却 未 加 说 明 , 最 好 也 不 要 轻易 打开 ,以 防 由 
于 朋友 的 系统 感染 了 病毒 而 继续 传染 ; 第 三 ,不 要 轻易 打开 附件 中 的 文件 ,可 先 用 “另存 为 ” 
命令 将 其 保存 在 本 地 硬盘 中 ,再 用 查 杀 病毒 软件 进行 检查 ,确认 无 毒 后 方 可 打开 使 用 ; 第 
四 ,切忌 盲目 转发 邮件 ,给 别人 发 送 程 序 文件 或 电子 贺卡 时 ,可 先 在 自己 的 计算 机 里 试 试 , 确 
信 没 有 问题 后 再 发 出 去 ,以 免 自 己 无 意 中 成 为 病毒 的 传播 者 。 

(2) 使 用 优秀 的 防 病毒 软件 进行 保护 

第 一 , 防 病毒 软件 必须 有 能 力 发 现 并 杀 灭 任何 类 型 的 病毒 ,无 论 这 些 病毒 是 隐藏 在 邮件 
文本 中 ,还 是 躲藏 在 附件 内 。 当 然 ,有 能 力 扫描 压缩 文件 也 是 必需 的 ; 第 二 , 防 病毒 软件 还 
必须 在 收 到 邮件 的 同时 对 该 邮件 进行 病毒 扫描 ,并 在 每 次 打开 、 保 存 和 发 送 后 再 进行 扫描。 

(3) 使 用 防 病毒 软件 同时 保护 客户 机 和 服务 器 

一 方面 ,只 有 客户 机 的 防 病毒 软件 才能 访问 个 人 目录 ,并 防止 病毒 从 外 部 人 侵 。 另 一 方 
面 , 只 有 服务 器 的 防 病毒 软件 才能 进行 全 局 检测 和 查 杀 病毒 。 使 用 防 病毒 软件 同时 保护 客 
户 机 和 服务 器 是 防止 病毒 在 整个 系统 中 扩散 的 唯一 途径 ,也 是 阻止 病毒 人 侵 没 有 本 地 保护 
但 连接 到 邮件 系统 的 计算 机 的 唯一 方法 。 


2. 防范 电子 邮件 炸弹 


平时 可 采取 以 下 方法 防范 电子 邮件 炸弹 。 

使 用 Outlook 或 Foxmail 等 系统 的 POP3 收 信 工 具 接 收 邮件 。 

。 当 你 的 邮箱 被 不 停 地 攻击 时 , 先 打开 一 封 邮件 查看 对 方 地 址 ,然后 在 收 件 工 具 的 过 滤 
器 中 选择 不 再 接收 来 自 该 地 址 的 信件 ,这 样 就 将 其 直接 从 电子 邮件 服务 器 上 删除 。 
接收 邮件 时 ,一 旦 发 现 邮 件 列 表 的 数量 大 大 超过 平时 邮件 的 数量 时 ,应 立即 停止 下 
载 邮件 ,然后 删除 这 些 邮件 炸弹 。 

。 对 邮件 地 址 进行 配置 ,自动 删除 来 自 同 一 主机 的 过 量 或 重复 的 消息 。 


3. 防范 垃圾 邮件 


虽然 垃圾 邮件 可 能 以 任何 形式 出 现 , 但 还 是 有 迹 可 寻 的 ,它们 有 以 下 特点 。 
。 发 信者 本 身 的 邮件 地 址 也 是 假冒 的 。 当 用 户 收 到 各 项 难以 置信 的 中 奖 通知 、 特 价 优 
惠 等 好 消息 时 需要 提高 警觉 。 

。 邮件 内 容 的 文法 或 错字 百出 。 

。 频繁 使 用 大 写字 体 和 惊叹 语词 。 

。 大 部 分 的 内 容 为 广告 或 电话 服务 。 

(1) 把 垃圾 邮件 放 到 垃圾 邮件 活页 夹 里 

如 果 邮 件 很 多 , 则 需要 分 类 和 管理 所 收 到 的 邮件 ,清除 垃圾 邮件 是 必要 的 。 大 多 数 邮 件 
阅读 器 都 提供 垃圾 邮件 过 滤器 或 一 些 规则 ,使 用 户 能 清除 那些 看 起 来 像 垃圾 的 邮件 。 由 于 
邮件 过 滤器 并 不 完美 ,因此 不 要 使 用 自动 清除 功能 ,而 应 把 它们 移 到 垃圾 邮件 活页 夹 里 不 
用 。 偶尔 可 检查 一 下 这 些 活页 夹 ,防止 丢掉 被 错 当 成 垃圾 的 重要 邮件 。 

(2) 不 随意 公开 或 有 意 隐藏 自己 的 邮件 地 址 

有 许多 用 户 可 能 不 明白 ,那些 垃圾 邮件 制造 者 不 知道 自己 的 电子 邮件 地 址 ,怎么 能 发 邮 
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件 给 自己 呢 ? 其 实 这 并 非 这 些 垃圾 邮件 制造 者 多 么 神通 广大 ,而 是 用 户 自 己 在 不 经 意 间 把 
自己 的 地 址 留 在 了 Internet 上 。 那 些 垃圾 邮件 制造 者 使 用 一 种 叫 bot 的 专用 应 用 程序 可 搜 
索 Internet 上 的 E-mail 地 址 。 他 们 的 搜索 目标 可 能 是 各 个 网 址 、 聊 天 室 、 网 上 讨论 区 、 新 闻 
组 公共 讨论 区 以 及 其 他 任何 能 够 充实 他 们 的 邮件 地 址 数据 库 的 地 方 。 所 以 用 户 避 免 收 到 
过 多 垃圾 邮件 的 方法 之 一 就 是 不 随意 公开 自己 的 邮件 地 址 。 

在 实际 使 用 中 ,有 时 还 避免 不 了 要 在 一 些 公 共 场 合 中 留 下 自己 的 邮件 地 址 。 为 防止 非 
法 用 户 利用 这 个 机 会 窃取 地 址 信息 ,可 以 对 自己 要 公布 的 邮件 地 址 进行 一 下 "修饰 ”, 使 对 方 
能 看 懂 自 己 的 地 址 而 计算 机 却 不 能 识别 。 如 用 户 真实 的 邮件 地 址 是 gongchangzhang@ 
163. com, 在 电子 邮件 地 址 的 用 户 名 或 主机 名 前 面 加 上 几 个 字符 (如 abc) ,这 样 经 过 修饰 后 
的 地 址 形式 就 是 gongchangzhang@abc. 163. com, 然 后 把 该 地 址 填写 在 邮件 编辑 窗口 的 发 
信人 或 回复 文本 栏 里 。 用 户 可 事先 与 对 方 约定 ,比如 在 正文 中 加 一 个 注释 以 提醒 对 方 在 回 
复 时 要 修改 地 址 。 这 样 就 把 真实 的 地 址 隐藏 起 来 了 ,垃圾 邮件 制造 者 自动 搜索 器 搜索 到 的 
只 能 是 修饰 后 的 地 址 而 不 是 原 地 址 。 

(3) 采用 邮件 规则 过 滤 功 能 

在 电子 邮件 中 安装 过 滤器 (如 E-mail notify) 是 一 种 最 有 效 的 防范 垃圾 邮件 的 措施 。 一 
个 优秀 的 垃圾 邮件 过 滤器 能 够 区 分 合法 邮件 和 垃圾 邮件 ,并 可 以 使 用 户 的 收 件 箱 免 受 垃圾 
邮件 之 苦 。 在 接收 任何 电子 邮件 之 前 预先 检查 发 件 人 的 资料 ,如果 觉得 有 可 疑 之 处 ,可 以 将 
之 删除 ,不 让 它 进入 电子 邮件 系统 ,从 而 保证 了 邮箱 安全 。 但 使 用 这 种 组 件 需 要 一 定 的 技巧 
和 正确 操作 ,否则 就 有 可 能 删除 掉 合法 邮件 ,而 保留 一 些 垃圾 邮件 。 但 现在 的 垃圾 邮件 过 滤 
技术 已 经 很 可 靠 了 。 

如 果 你 收 到 一 封 带 有 附件 的 电子 邮件 , 且 附 件 的 扩展 名 为 . exe 一 类 的 文件 ,这 时 千 万 
不 要 随意 单 击 运行 它 , 因 为 这 个 不 明 真相 的 程序 很 有 可 能 是 一 个 系统 破坏 程序 。 攻 击 者 常 
把 系统 破坏 程序 换 一 个 名 字 用 电子 邮件 发 给 你 ,并 带 有 一 些 欺骗 性 主题 。 

因 邮 件 附 件 中 的 某 些 文件 可 能 附带 恶意 代码 ,因此 在 收 到 带 有 附件 的 陌生 人 的 邮件 时 
用 户 需 要 格外 谨慎 。 在 进行 规则 设置 时 应 予以 考虑 。 在 防范 邮件 附件 可 能 带 有 恶意 代码 
时 ,用户 应 采取 如 下 基本 策略 。 

加 除非 自己 确实 需要 某 个 附件 ,否则 不 要 下 载 或 打开 它 。 

@ 在 确信 邮件 附件 的 安全 性 之 前 不 要 打开 它 。 

@ 在 打开 一 个 附件 中 的 可 执行 文件 前 需要 保持 高 度 的 警惕 。 


4. 电子 邮件 加 密 和 签名 


Internet 是 一 个 包含 了 成 千 上 万 服务 器 .路 由 器 和 中 继 器 的 大 型 网 络 , 用 户 所 发 送 的 电 
子 邮件 在 到 达 目 的 地 之 前 需要 经 过 若干 个 地 方 。 在 任意 一 个 地 方 ,只 要 懂得 一 些 访问 以 及 
网 络 知识 的 人 都 知道 如 何 来 阅读 电子 邮件 。 从 技术 上 看 ,没有 任何 方法 能 够 阻止 攻击 者 截 
取 电 子 邮 件数 据 包 , 用 户 无 法 确定 自己 的 邮件 将 会 经 过 哪些 路 由 器 ,也 不 能 确定 经 过 这 些 路 
由 器 时 会 发 生 什么 。 

从 邮件 本 身 安 全 的 角度 看 , 既 要 保证 邮件 不 被 无 关 的 人 窃取 或 更 改 , 又 要 使 接收 者 能 确 
定 该 邮件 是 由 合法 发 送 者 发 出 的 。 可 以 对 邮件 使 用 加 密 和 数字 签名 技术 来 达到 这 个 目的 。 
经 过 加 密 和 数字 签名 处 理 后 的 邮件 ,即使 攻击 者 得 到 邮件 数据 包 后 也 无 法 阅读 它 。 作 为 
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Internet 标准 而 提出 的 增强 型 加 密 邮件 PEM 和 PGP 软件 是 实现 文件 和 邮件 加 密 的 两 个 具 
有 代表 性 的 加 密 软件 。 邮 件 加 密 可 以 保护 用 户 的 秘密 ,确保 邮件 不 能 被 无 关 人 员 阅读 , 除 非 
有 人 知道 用 户 的 密码 以 及 解密 的 口令 。 

如 果 用 户 的 E-mail 软件 中 设置 了 加 密 的 功能 ,就 可 以 通过 单 击 某 个 按钮 的 操作 来 加 密 
用 户 的 邮件 。 那 么 就 只 有 合法 收 件 人 能 够 阅读 信件 ,他 必须 有 一 个 相 匹配 的 密 钥 和 正确 的 
口令 。 对 于 其 他 人 来 说 这 封 信 可 能 是 空 的 ,也 可 能 是 乱码 。 

对 于 邮件 加 密 ,需要 考虑 采用 什么 样 的 加 密 方法 。 对 称 密码 算法 加 密 简便 高 效 , 也 较 安 
全 ,但 其 密 钥 管理 十 分 困难 ; 公 钥 密码 算法 加 密 密 钥 管理 方便 ,也 便于 数字 签名 ,但 加 密 解 
密 速 度 慢 ,效率 低 。 所 以 在 实际 使 用 中 将 两 者 结合 起 来 ,充分 发 挥 各 自 的 优势 。 


5. 谨慎 使 用 自动 回信 功能 


所 谓 自 动 回 信 就 是 指 当 对 方 发 来 一 封 邮件 而 你 没有 及 时 收取 时 ,邮件 系统 会 按照 你 事 
先 的 设 定 自 动 给 发 信人 回复 一 封 确认 收 到 该 邮件 的 回信 。 该 功能 本 来 可 给 用 户 带 来 方便 ， 
但 也 有 可 能 形成 邮件 炸弹 。 试 想 , 如 果 对 方 使 用 的 邮件 系统 也 开启 了 自动 回信 功能 ,那么 当 
收 到 你 自动 回复 确认 信 时 ,恰巧 他 也 没有 及 时 收取 信件 ,他 的 系统 就 会 自动 给 你 发 送 一 封 确 
认 收 到 邮件 的 回信 。 这 样 ,这 种 自动 回复 的 确认 信 便 会 在 双方 的 邮件 系统 中 不 断 重复 发 送 ， 
直到 形成 邮件 炸弹 使 双方 的 邮箱 都 爆满 为 止 。 因 此 一 定 要 慎重 使 用 自动 回信 功能 。 


6. 保护 邮件 列表 中 的 E-mail 地 址 


如 果 用 户 与 许多 人 通过 E-mail 就 某 个 主题 进行 讨论 ,从 而 要 把 E-mail 地 址 列 和 人 公共 邮 
件 地 址 清单 中 。 这 种 讨论 组 类 似 于 新 闻 组 ,只 不 过 它 是 通过 E-mail 进行 的 。 这 些 公 共 讨 论 
经 常 加 载 在 网 上 ,这 对 于 垃圾 邮件 制造 者 来 说 是 很 有 吸引 力 的 。 把 E-mail 地 址 列 入 单 向 邮 
件 列表 或 通过 有 良好 信誉 的 地 方 登记 到 邮件 公告 板 上 ,可 避免 使 用 户 的 地 址 列 入 垃圾 邮件 
制造 者 的 名 单 。 好 的 邮件 公告 板 组 织 的 软件 会 有 严格 的 保护 措施 来 防止 外 来 者 获取 注册 者 
地 址 。 


7. 使 用 安全 的 邮件 客户 端 


客户 端 系统 是 用 户 用 来 编写 ,发 送 和 接收 电子 邮件 的 软件 。 保 障 电子 邮件 系统 安全 的 
基本 要 求 就 是 采用 一 个 安全 的 邮件 客户 端 系统 。 有 些 邮 件 客户 端的 漏洞 较 多 ,而 厂商 的 补 
丁 又 很 滞后 ,这 就 为 黑客 攻击 提供 了 方便 。 


@3 电子 邮件 的 安全 设置 实例 


针对 电子 邮件 的 安全 问题 ,用 户 可 有 目的 地 增加 邮件 规则 和 进行 系统 安全 方面 的 设置 。 
一 般 不 同 的 邮件 服务 商会 提供 不 同 的 Web 管理 方式 ,通过 Web 进入 自己 的 邮箱 (如 
Hotmail 邮箱 、Yahoo 邮箱 等 ), 可 以 在 邮件 系统 的 帮助 下 进行 邮件 的 安全 设置 。 另 外 ， 
Outlook Express 和 Foxmail 等 专用 的 邮件 收发 和 管理 工具 对 电子 邮件 的 安全 有 更 方便 的 
地 方 。 
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1. 浏览 器 的 安全 设置 


浏览 器 种 类 很 多 ,这 里 以 下 浏览 器 为 例 。 进 入 IE 浏览 器 ,选择 “工具 ”>“Internet 属 
性 ”菜单 ,进入 “安全 ”选项 卡 ,在 这 里 可 以 对 四 种 不 同 区 域 (Internet、 本 地 Intranet、 受 信任 
的 站 点 和 受 限制 的 站 点 ) 分 别 进行 安全 设置 ,如 图 9. 1 所 示 。 选 择 Internet 区 域 单 击 “ 自 定 
义 级 别 ?按钮 ,弹出 如 图 9. 2 所 示 的 窗口 。 在 此 窗口 用 户 可 按照 自己 的 安全 考虑 选择 相关 组 
件 和 设 定安 全 级 别 。 


Internet 选项 


〇 禁用 


Internet 
下 百 去 行 未 用 签名 的 组 件 
二 和 Ne 本 Authenticode 
@ 后 用 
该 区 域 的 安全 记 别 已) 〇 提示 
各 运行 已 用 hathenticoae 签名 的 组 件 
Be C 〇 可 用 
i. a 
和 
-重重 自 定义 设置 一 一 一 一 一 一 
MA 午时) | 到 EW 中 一 一 过] 重 所 | 
图 9.1 浏览 器 Internet 选项 图 9.2 Internet 自 定义 安全 设置 


在 如 图 9. 1 所 示 的 “隐私 ”选项 卡 中 进行 设置 可 以 适当 保护 用 户 自己 的 隐私 。 如 果 担 心 
信件 内 容 的 泄露 ,可 以 在 图 9. 1 所 示 的 “内 容 ” 选 项 卡 中 进行 证 书 设置 。 


2. 邮件 规则 的 设置 


下 面 以 微软 的 Outlook Express 为 例 介 绍 邮件 规则 的 安全 设置 。 打 开 Outlook 
Express, 依 次 选择 “工具 ”一 “邮件 规则 ”一 “邮件 ”菜单 ,弹出 “新 建 邮件 规则 ”窗口 ,如 图 9. 3 
所 示 。 如 果 在 “选择 规则 条 件 ” 栏 勾 选 后 ,再 在 “选择 规则 操作 ” 栏 勾 选 需要 的 操作 ,然后 在 
“规则 描述 ”中 就 自动 出 现 了 新 建 的 邮件 规则 说 明 。 如 在 “选择 规则 条 件 ” 栏 勾 选 “车 邮件 带 
有 附件 ”选项 ,在 “选择 规则 操作 ” 栏 勾 选 “ 移 动 到 指定 的 文件 夹 和 将 邮件 标记 为 忽略 ”两 项 ， 
则 在 “规则 描述 ”中 就 出 现 “ 邮 件 带 有 附件 移动 到 指定 的 文件 夹 和 将 邮件 标记 为 被 监测 ” 选 
项 ; 如 在 “选择 规则 条 件 ” 栏 勾 选 “车 邮件 长 度 大 于 指定 的 大 小 ”选项 ,在 “选择 规则 操作 ” 栏 
勾 选 “删除 ”, 在 “规则 描述 ”中 就 出 现 * 若 邮件 长 度 大 于 指定 的 大 小 删除 ?选项 ,如 图 9. 4 
所 示 。 

当 用 户 连 续 收 到 很 多 不 熟悉 的 发 件 人 的 邮件 ,特别 是 多 次 收 到 一 个 地 址 的 邮件 或 带 
有 很 大 附件 的 邮件 时 ,就 要 考虑 这 些 可 能 是 垃圾 邮件 了 ,这 就 可 以 通过 设置 过 滤 规 则 对 
垃圾 邮件 进行 限制 。 打 开 Outlook Express, 依 次 选择 “工具 ”一 “邮件 规则 ”一 “阻止 发 件 
人 人 名单” 菜单 ,在 弹出 的 “邮件 规则 ”窗口 中 单 击 “ 添 加 ”按钮 ,输入 你 想 阻止 的 电子 邮件 地 
址 (如 abcd@163. com) ,确定 后 显示 在 窗口 中 ,如 图 9. 5 所 示 。 还 可 以 继续 添加 其 他 的 想 要 
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EED 


请 首先 选择 条 件 和 操作 ， 然 后 在 描述 中 指定 值 。 


到 | 哲 定 的 用 户 el 
3， 规 则 描述 单 击 带 下 划 贱 的 值 可 以 进行 编辑 ) 四 ) 


邮件 到 这 后 应 用 本 规则 
忻 长 度 大 于 指定 的 大 小 
| 


4 规则 名 称 D 
新建 闻 件 规则 和 | 


[mm | 
图 9.4 新 规则 设置 (2) 


阻止 的 发 送 人 地 址 。 这 样 ,你 就 不 会 再 收 到 这 些 被 阻止 的 邮件 地 址 发 来 的 邮件 了 。 
3. 使 用 纯 文本 格式 


HTML 格式 的 文档 可 能 含有 在 未 得 到 用 户 许可 情况 下 就 能 够 执行 某 些 操作 的 因素 。 
在 用 户 单 击 时 , 它 就 可 能 将 用 户 带 到 一 个 陌生 的 网 站 。 虽 然 多 数 客户 端 软 件 可 以 起 到 保护 
作用 ,但 用 户 最 好 禁用 HTML 格式 ,而 采用 纯 文本 格式 。 

Outlook Express 下 使 用 纯 文本 的 方法 : 打开 Outlook Express, 选 择 “ 工 具 ” 一 “选项 ” 
菜单 , 单 击 “ 阅 读 "选项 卡 ,选中 “用 纯 文本 格式 阅读 所 有 信息 ”项 并 单 击 “ 确 定 ” 按 钮 即 可 ,如 
图 9.6 所 示 。 
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NA 


邮件 规 司 规 


则 新 闻 规则 人 人妖 | 
来 自 下 列 清 单 中 发 件 人 的 邬 件 将 被 自动 移 到 |“ 已 英 辽 邮件 ”文件 夹 中 ( 叶 邮 件 ) 和 
风 新 闻 邮 件 )。 


/可 不 未 
| 部件 。 新 闻 。 电子 邮件 地 址 / 域 各 (i 
| [em EE 
La | 
[ES | 
图 9.5 “阻止 发 件 人 ”设置 
铭 选项 ?jx| 
安全 1 | | 
mm TD | 本 | |Ws5 |s | 
同 过 邮件 
瑟 克 在 显示 邮件 人 后。 - 习 。 秒 后 , 格 其 标记 为 已 
和 厂 自动 展开 姐 合 邮 件 &) 
在 预 操 宣 格 中 查看 的 同时 自动 下 载 邮件 QD) 
太 在 邮件 列表 中 为 对 由 项 显示 工具 提示 00 
实 出 显示 久 中 Bfotg 件 W)， | 有 SEE 了 | 
新 闻 
时 末 每 次 获取 @) |300 习 个 邮件 标 头 
导 三 退出 新 着 时 格 所 有 邮件 标记 为 已 区) 
字体 
尺 单 击 此 处 以 更 改 赔 淡 邮 伞 时 使 用 的 字体 和 点 认 编码 
字体 四 | | 设 置 中 | 
mm | enw | 


图 9.6 选择 使 用 纯 文本 格式 

4. 使 用 多 层 防御 

就 像 对 付 恶 意 软件 一 样 ,要 保护 邮件 系统 的 安全 ,需要 采用 多 种 防御 措施 ,使 这 些 措 施 
能 有 效 地 对 付 网 络 威胁 。 

(1) 客户 端的 安全 设置 

事实 上 ,所 有 主要 的 邮件 客户 端 都 提供 安全 设置 特性 、 反 垃圾 邮件 、 防 钓鱼 等 功能 。 用 
户 可 通过 这 些 功 能 阻止 相关 的 威胁 。 

(2) 使 用 防火 墙 


许多 企业 级 防火 墙 不 但 可 以 阻止 网 络 攻击 ,还 可 以 通过 过 滤 附 件 中 的 恶意 代码 来 保障 
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邮件 系统 的 安全 性 。 当 然 这 需要 预先 在 防火 墙 中 设置 相关 的 规则 。 

(3) 加 密 邮 件 

保护 电子 邮件 安全 不 但 要 防止 恶意 邮件 到 达 用 户 桌 面 ,还 要 保护 发 出 邮件 的 安全 和 保 
密 。 采 用 加 密 措 施 , 即 可 将 发 送 的 邮件 变 为 一 种 非 授权 人 员 无 法 阅读 的 形式 ,从 而 保护 电子 
邮件 的 机 密 性 。 在 发 送 电子 邮件 过 程 中 ,用 户 还 可 以 采用 加 密 的 传输 通道 。 如 在 Outlook 
Express 中 ,选择 “工具 ”>“ 选 项” 菜单, 单 击 “ 安 全 ”选项 卡 ,如 图 9.7 所 示 。 在 这 里 用 户 除 
了 人 勾 选 相应 的 项 目 外 ,还 应 进行 “数字 标识 "(证 书 ) 和 “获取 数字 标识 ”等 设置 。 


多 选项 EE 
| 

| 连接 | 维护 1 
病毒 防护 


选择 要 使 用 的 Internet Explorer 安全 区 域 

5 有 区 最 厂 2) 国 
f 当 别 的 应 用 程序 试图 用 我 的 名 义 发 送 电子 邮 件 时 警 肖 我 凶 )。 
人 不 允许 保存 或 打开 可 能 有 病毒 的 附件 四 。 


下 载 | 


四 阻止 NTWL 电子 邮件 中 的 图 像 和 其 地 外 部 内 容 @B) 
安全 邮件 
人 EE 忆 ) 是 加 你 在 电子 事务 详细 内 容 如 


Ei 各 或 接收 加 府 的 邮件 :您 


数字 标识 世 ，. 


CD ww | mwl| 
图 9.7 _ Outlook 的 邮件 加 密 设置 


(4) 运用 反 病毒 工具 

目前 ,许多 反 病 毒 工具 都 可 以 租 和 信 到 Outlook Express 等 邮件 客户 端 ,并 可 以 查找 和 清 
除 邮 件 中 的 病毒 .时 虫 和 特洛伊 木马 等 。 如 图 9. 8 所 示 的 NOD32 软件 就 具有 病毒 防护 和 
Web 保护 等 功能 。 


5. 备份 邮件 资料 


与 系统 和 服务 器 一 样 ,Dutlook Express 也 可 以 对 重要 的 资料 进行 备份 ,以 防 在 资料 丢 
失 或 当 资 料 被 破坏 时 可 以 及 时 人 恢复。 默认 情况 下 ,Outlook Express 邮件 的 保存 位 置 是 C: 
WINDOWS\...\ ApplicationData\Identities {4COABEE0-5D39-11D6-B814-9E1F7480B676}\ 
Microsoft\OutlookExpress 文件 夹 . 其 中 {} 中 的 符号 不 是 固定 的 . 它 与 不 同 用 户 的 计算 机 环 
境 有 关 。 将 该 文件 夹 中 的 所 有 文件 复制 到 下 :mymail, 操 作 步 又 为 : 在 Outlook Express 中 
选择 “工具 ”一 “选项 ”菜单 , 单 击 “ 维 护 ” 选 项 卡 , 再 单 击 “ 存 储 文件 夹 ”按钮 ,在 弹出 的 “存储 位 
置 ”窗口 中 单 击 “ 更 改 ” 按 钮 ,指定 存储 位 置 为 E:mymail 文件 夹 ,最 后 单 击 “ 确 定 ” 按 钮 即 可 ， 
如 图 9.9 所 示 。 同 样 ,可 以 对 通讯 簿 进行 转移 , Outlook Express 的 通讯 短文 件 保存 在 C: 
WINDOWS\...\ApplicationData\Microsoft\ Address Book 文件 夹 中 ,将 这 个 文件 夹 中 的 
. wab 文件 复制 到 其 他 文件 夹 中 (如 E:mytx) 注 册 表 编辑 器 ,依次 找到 HKEY_CURRENT_ 
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ThreatSense .Net | 
日 用户 界面 | 
警报 和 通知 Ed 
3 > 


取消 人 加) 


确定 G@) 


图 9.8 NOD32 的 病毒 防护 和 Web 保护 功能 


中 选项 ? |X] 
灾 大] 回执 | 发送 | 插 守 - Te 
清除 邮件 


本 | 口 退 出 时 清空 “已 扣除 邮件 ”文件 严 中 的 邮件 @) 
口 高 开 ThAF 文件 夹 时 清除 已 其 了 的 邮件 全 ) 
压缩 邮件 时 @) 
口才 除 新 闻 组 中 已 污 邮 件 的 正文 L) 
回 新 闻 邮 件 下 载 Q) 上 5 。 二 | 天 后 即 被 抽 除 @) 


“Dt 机上 的 下 载 。 [了 末了 


二 “Hx" 以太 6 析 的 二 


您 的 个 人 邮件 夹 位 于 下 面 的 文件 夹 中 CY) 
-63BA-4121-BDSD-F2A1615724B6} 


CE ) La |] 


更 中 (C) 
9.9 备份 邮件 资料 的 存储 设置 


USERSoftwareMicrosoftWABWAB4WabFileName 子 键 分 支 , 然 后 将 其 默认 值 更 改 为 自己 
的 文件 夹 E:mytx 即 可 。 

6. 拒绝 Cookie 信息 

许多 网 站 会 使 用 一 些 不 易 被 察觉 的 技术 ,暗中 搜集 你 填写 在 表格 中 的 电子 邮件 信息 ,最 
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常见 的 就 是 利用 Cookie 程序 记录 访客 上 网 的 浏览 行为 和 习惯 。 如 果 你 不 想 让 Cookie 程序 
记录 你 的 个 人 隐私 信息 , 则 可 以 在 浏览 器 中 做 一 些 必要 的 设置 ,要 求 浏览 器 在 接受 Cookie 
之 前 提醒 你 ,或 者 干脆 拒绝 它们 。 随 着 时 间 的 推移 ,Cookie 程序 记录 信息 可 能 越 来 越 多 。 
为 了 确保 安全 ,应 将 这 些 已 有 的 Cookie 信息 从 硬盘 中 清除 掉 , 并 在 浏览 器 中 调整 Cookie 设 
置 ,让 浏览 器 拒绝 接受 Cookie 信息 。 屏 项 Cookie 的 操作 步骤 为 : 在 图 9. 1 所 示 “ 安 全 ”选项 
卡 下 单 击 * 自 定义 级 别 ? 按 钮 ; 在 打开 的 图 9. 2 所 示 的 “安全 设置 ”对 话 框 中 找到 关于 Cookie 
的 设置 ,然后 选择 “禁用 ”或 提示 ”选项 即 可 。 
如 果 在 公共 场所 收发 信件 ,保护 信件 内 容 的 隐私 性 是 很 重要 的 。 可 以 通过 “Internet 选 

项 ”的 “常规 ”选项 卡 设置 ,如 图 9. 10 所 示 。 单 击 删 除 文件 、 清 除 历史 记录 以 及 删除 Cookie 
即 可 清除 一 些 隐私 信息 。 另 外 ,还 可 以 到 如 图 9. 11 所 示 的 内容” 选项 卡 的 “个 人 信息 ” 栏 进 
行 单 击 “ 自 动 完 成 ”按钮 自动 完成 设置 ,清除 表单 及 密码 等 。 

Internet 选项 ?|x| Internet 选项 2 ?zx 

(本) | 验 | 县 |ne | 1 和 |1m | 常规 | 安全 | 隐私 《本 >》 | 连接 | 程序 | 高 骨 | 


| Cr 全 2 近 抽 在 这 让 机 上 看 89 Internet 
| 


| BR... | Bur || 
Internet 临时 文件 | 国 全 有 正 大吉 e 出 与 蜂 以 前 辆 入 的 内 容 最 相符 的 条 目 。 
全 和 EMaaaxwxe su | 
ss = 
| 扩 表单 上 的 用 户 名 和 密码 E) 
历史 记录 2 
记 二 二 amEiRTotEER ,可 RRPt 影 澳 5 Re 
| 清除 自动 成 历史 记录 
网 保存 在 历史 记 好 中 的 天 数 鸭 ，F“ 司 (了 历 史记 订 | | Pe 清除 表单 C) 清 队 宣 码 
eb, 六 Internet 选项 ” 
靖 色 @) .| 字体 加 | 语言 串 | 办 Mw 号 双 | A 
ma | Ca |] ww | 
图 9. 10 Internet 常规 设置 图 9.11 清除 隐私 的 自动 设置 
[习题 和 思考 题 
一 、 问 答题 


1. 什么 是 垃圾 邮件 ? 如 何 防范 垃圾 邮件 ? 

2. 如 何 防范 电子 邮件 病毒 ? 

3. 简 述 电子 邮件 的 安全 漏洞 。 

4. 简 述 几 种 保护 电子 邮件 安全 的 措施 。 

二 、 填空 题 

1. 实现 邮件 加 密 的 两 个 代表 性 的 软件 是 ( ) 和 ( i 

2. 电子 邮件 病毒 的 传播 速度 ( ) ,传播 范围 ( ) , 绝 大 多 数 电子 邮件 病毒 都 有 
( ) 能 力 。 
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三 、 单 项 选择 题 

1 以 下 ) 项 电子 邮件 威胁 属于 垃圾 邮件 。 

A. 邮件 病毒 B. 邮件 密码 不 安全 C. 网 络 钓鱼 D. 冒名 顶替 
2 以 x ) 项 措施 可 预防 垃圾 邮件 。 


A. 加 密 邮件 B. 隐藏 自己 的 邮件 地 址 

C. 采用 纯 文 本 格式 D. 拒绝 Cookie 信息 

四 、 实 验 题 

1. 以 Outlook Express 为 例 ,对 邮件 规则 过 滤 功 能 进行 设置 ,采取 措施 防范 垃圾 邮件 ， 
对 电子 邮件 进行 加 密 和 签名 。 


2. 以 Foxmail 为 例 , 进 行 邮 件 的 安全 设置 和 应 用 。 
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二 、 填空 题 


加 oo 门口 思 宣王 


可 靠 性 

可 用 性 

. 被 动 ”主动 

. 自然 环境 ”网络 中 信息 

. 信息 内 容 或 信息 的 长 度 、 传 输 频 率 等 特征 
.故意 

. 无 意 

.主动 

. 全 盘 恢复 ”个别 文 件 恢复 


三 、 单 项 选择 题 


1 
和 9 


“A2B CB5.D 6C TA 8(1)B(2)A 
. (1) A (2) C (3) B (4) D (5) A 
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二 、 填空 题 


PPAR rr- 


. 主机 、 显 示 器 打印机 等 ”Hub、 交 换 机 、 路 由 器 、 网 络 线 缆 、 各 种 服务 器 等 
.增加 一 些 多 余 设备 

.核心 交换 机 服务 器 ”存储 设备 

路 由 器 

交换 机 

. 安全 认证 ”防火墙 

. 文件 服务 器 ”数据 库 服 务 器 ”通信 服务 器 
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二 、 填空 题 


[ 


自主 访问 控制 ”强制 访问 控制 


312 


SA 
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2. 自主 访问 控制 

3. 数字 证 书 验 证 ”生理 特征 验证 

4. 存储 器 保护 ”访问 控制 ”身份 认证 
5 

6 


. 用户 账 户 和 口令 ”账户 锁定 ”安全 标识 符 
. 对 于 大 型 软件 系统 在 使 用 过 程 中 暴露 的 问题 而 发 布 的 解决 问题 的 小 程序 


1. (1)D (2)C (3) D 


二 、 填 空 题 

1. 加 密 密 文 明文 

2. DES _ IDEA 3DES 

3. RSA ”背包 算法 ElGamal 复杂 的 数学 难题 

4. 密 钥 的 保密 强度 

5. 对 称 128 64 

6. 密码 编码 学 ”密码 分 析 学 ”密码 编码 学 ”编码 技术 被 保护 信息 ”指定 接收 者 


密码 分 析 学 ”攻破 一 个 密码 系统 ”本 来 面目 前 者 后 者 


7. 识别 ”在 访问 者 声明 自己 的 身份 后 系统 要 对 他 所 申明 的 身份 进行 验证 ”秘密 
8. 是 相同 的 

9. 算法 容易 实现 、 速 度 快 

10. IEDA RSA 加密 签名 IDEA RSA 邮件 加 密 ”数字 签名 

11. RSA DSS/DSA Hash 

12. 不 可 否认 

13. 数据 加 密 标准 (DES) 公 钥 密码 体制 ”密码 学 

三 、 单 项 选择 题 

1 0 D 
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二 、 填空 题 

1.IP TCP 

2. 无 连接 的 ”不 可 靠 的 ” 尽 最 大 努力 的 
3. 身份 验证 ”保密 性 

4. 主机 对 主机 了 

5. 进程 对 进程 

6. 修改 和 扩充 

7. SET PEM 

8. 文件 加 密 工具 ”公共 密 钥 加 密 ” 文 件 加 密 


附录 A ”部 分 习题 答案 ”、313 
4 


9. 加 密 ”自动 解密 

10. Windows 2000/XP/2003 操作 系统 NTFS 分 区 格式 

11. 网 络 认证 服务 ”对 称 密 钥 密码 体制 ”保密 性 和 完整 性 

12. 加 密 和 认证 ”窃听 和 自 改 ”网络 攻击 

13. 网 络 认 证 协议 AH 封装 安全 载荷 协议 ESP 密 钥 管理 协议 IKE 

14. IPv6 ”隧道 模式 ”传输 模式 

15. 加 密 和 验证 ”对 数据 包 包 头 进行 完整 性 验证 ”对 数据 的 加 密 和 完整 性 验证 
三 、 单 项 选择 题 

和 下 
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二 、 填 空 题 

. 传播 速度 快 ”清除 难度 大 

. 管理 技术 

. 包 过 滤 ”服务 代理 ”状态 检测 

终端 客户 Internet 

. 拒绝 服务 利用 信息 收集 

.缓冲 区 溢出 

. 拒绝 服务 

. 被 动 ”主动 

. 硬件 故障 ”网 络 线路 威胁 ”电磁 辐射 

10. 应 用 软件 漏洞 ”操作 系统 漏洞 ”通信 协议 漏洞 
三 、 单 项 选择 题 

LL.C 2.B3A4D5D 6c 7.B 8.(1)B (WD (A 
9. (1)A (2)D 10. (DC (2)D 
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二 、 填空 题 

1. 认证 访问 控制 ”数据 的 保密 性 

2. 隧道 ”加密 /解密 ” 密 钥 管理 身份 认证 
3. 路 由 器 ”防火 墙 


op 站 是 


1. MMDS LMDS 扩 频 
2. 数据 加 密 
3. 900 1800 


314%。 网络 安 全 技术 与 应 用 实践 
™ 


4. 加 密 

5. TKIP AES IEEE 802.1x 
三 、 单 项 选择 题 
了 
这 泥 
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、 填 空 是 

PEM PGP 

快 _ 广 自我 复制 
、 单 项 选择 是 
2..B 
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